Google ha appena rilasciato la prima build stabile di Chrome 12 che risolve numerose vulnerabilità riscontrate e porta diversi miglioramenti per la sicurezza. Un numero totale di quattordici falle di sicurezza sono state corrette nel nuovo Chrome 12.0.742.9, in aggiunta a quelle fissate durante il ciclo di sviluppo. Cinque delle vulnerabilità vengono valutate con particolare gravità, e sei sono state ricompensate attraverso il Google Chromium Security Program Rewards.
Il premio speciale di sicurezza è stato assegnato a Sergey Glazunov pari ad una ricompensa di 3.133,7 dollari (elite) per un bypass same-origin policy trovato nel motore JavaScript del browser. Questo premio è normalmente destinato alle falle critiche che impressionano i tecnici della sicurezza di Google riuniti nella giuria del programma di protezione.
"Vorremmo inoltre portare l'attenzione soprattutto ai 3133,7 dollari di premio a Glazunov Sergey. Sebbene il bug legato non è di severità critica, è stato accompagnato da una bella catena di bug di gravità minore, che hanno dimostrato l'impatto critico", ha scritto Jason Kersey ha scritto nel comunicato di Google. Questa è la seconda ricompensa di 3133,7 dollari mai rilasciata e Sergey Glazunov ha guadagnato entrambe.
In realtà, egli è il ricercatore più pagato nel programma di Google finora. Kuzzcc che ha contribuito alla sicurezza di Chrome ha ottenuto 1337 dollari (leet) per una vulnerabilità che permetteva di bypassare le autorizzazioni delle estensioni. Chrome 12.0.742.91 comprende una serie di nuove funzionalità e aggiornamenti, tra cui:
- Accelerazione hardware 3D CSS
- New Safe Browsing di protezione contro il download di file dannosi
- Possibilità di eliminare i cookie Flash da dentro Chrome
- Lanciare le applicazioni in base al nome dalla Omnibox
- Sync integrato in nuove pagine di profilo
- Migliorato il supporto screen reader
- Nuovo avviso quando colpisce Comando-Q su Mac
- La rimozione di Google Gears
Altri premi includono 2.000 dollari per Miuabiz per un errore ad alto rischio di memoria use-after-free nella gestione dei float, 1000 dollari a Sergey Glazunov per un elevato rischio di bypassare same-origin policy in DOM, 1000 dollari a Jarmalis Vladislavas per una iniezione di estensione a medio rischio in chrome: / / pagine
1000 dollari a Miaubiz per un altro errore di memoria use-after-free nel caricatore di immagini, 500 dollari rispettivamente a Kuzzcc per una iniezione di estensione a medio rischio script nella pagina nuova scheda e a Collin Payne per la corruzione di memoria del browser nella cancellazione della history.
A parte la patch di vulnerabilità, sottolineamo che Chrome 12 consente agli utenti di eliminare i cosiddetti cookies Flash dall'nterfaccia del browser. Questa è una buona notizia, perché l'archiviazione locale di Flash Player può essere utilizzata per riutilizzare i tracking cookie.
Un'altra caratteristica di sicurezza in Chrome 12 fornisce la protezione contro download malevoli utilizzando i dati dal servizio Google Safe Browsing. Si prega di consultare la pagina di sicurezza di chrome per maggiori dettagli. Si noti che i bug di riferimento possono essere mantenuti privati fino a quando una maggioranza degli utenti di Chrome abbiano aggiornato con la correzione.
Potete saperne di più su Chrome 12 sul blog ufficiale di Chrome. L'elenco completo delle modifiche è disponibile nella versione SVN log. La procedura di aggiornamento avviene in background e non richiede alcun intervento da parte dell'utente. Google Chrome 12 può essere comunque scaricato per Windows, Mac OS X e Linux manualmente dal sito ufficiale di Google.
Nessun commento:
Posta un commento