Компания Google опубликовала новый релиз браузера Chrome. В 72-й версии приложения закрыто 58 уязвимостей, 18 из которых являются критическими или серьезными. Кроме того, в сборке 72.0.3626.81 более не поддерживается технология HPKP, а при открытии сайтов, применяющих устаревшие протоколы TLS 1.0 и TLS 1.1, в диалоговом окне «Инструменты разработчика» выводится предупреждение. Пользователи Chrome для Windows, macOS и Linux могут получить апдейт через систему автоматического обновления в меню «Справка — О браузере Google Chrome».

Наиболее серьезным багом, исправленным в Chrome 72, стала критическая брешь CVE-2019-5754, которая связана с некорректной работой браузера с экспериментальным протоколом QUIC. За сообщение об этой уязвимости Google заплатила ИБ-специалисту с псевдонимом Klzgrad $7500.

Еще 17 недостатков представляют высокий уровень опасности. За большинство из них исследователи получили от $1 тыс. до $5 тыс. Google не раскрывает технические детали заплаток при выпуске свежего релиза, однако наиболее важными являются два патча для движка V8, а также исправление ошибок use-after-free в компоненте PDFium, интерфейсе WebRTC, платформе Blink и HTML-операторе select.

Помимо патчей браузер получил несколько обновлений, нацеленных на повышение безопасности работы. В частности, начиная с текущего релиза Chrome автоматически запрещает открытие всплывающих окон вне зависимости от того, включен или нет штатный блокировщик рекламы. Кроме того, разработчики продолжают поэтапный отказ от использования протокола FTP — в 72-й версии содержимое FTP-каталогов  не отображается, хотя скачивать файлы по прямым ссылкам все еще можно.

Как и планировали создатели Chrome, с января все сайты, применяющие устаревшие версии TLS, будут отмечаться в панели инструментов разработчика DevTools. Полностью поддержку TLS 1.0 и 1.1 планируется прекратить в 2020 году вместе с выпуском 81-го релиза интернет-обозревателя.

В новой версии браузера разработчики также отказались от механизма привязки открытых ключей HTTP (HPKP). Поддержку технологии, позволявшей формировать заголовки, содержащие данные одного или нескольких сертификатов безопасности, прекратили, поскольку она не получила признания у администраторов веб-ресурсов. Вместо HPKP создатели Chrome предлагают использовать более гибкие и безопасные заголовки типа Expect-CT.

Еще одним нововведением Chrome 72 станет запрет на внедрение в браузер стороннего кода. Ранее инъекциями пользовались разработчики многих систем безопасности для проверки веб-трафика «на лету». Теперь такую возможность получат лишь скрипты, подписанные сертификатом Microsoft, и программы для ввода символов, отсутствующих на клавиатуре.

Блокировка стороннего кода связана с негативным влиянием таких инъекций на стабильность работы. Создателям программных продуктов предлагают работать через расширения к браузеру или использовать API Native Messaging.

Категории: Кибероборона, Уязвимости