Google ha fornito un secondo aggiornamento di sicurezza per Chrome 17. La versione 17.0.963.65 stabile, che è disponibile per Windows, Mac OS X e Linux, include un totale di 14 vulnerabilità che l'azienda classifica ad alta gravità. Possono quindi essere sfruttate per iniettare ed eseguire codice dannoso all'interno della sandbox del browser. Google ha anche premiato i ricercatori in base alla gravità delle vulnerabilità riscontrate.
L'aggiornamento risolve una serie di difetti che includono problemi use-after-free nell'elemento wrapper V8, nella gestione del valore SVG, nella gestione dei documenti in formato SVG, nella gestione dell'uso SVG, nella gestione multi-colonna, nel trattamento preventivo, nel Flexbox con floats, nella gestione della classe attributo, nella gestione table handling, e con elementi di animazione SVG.
L'aggiornamento risolve una serie di difetti che includono problemi use-after-free nell'elemento wrapper V8, nella gestione del valore SVG, nella gestione dei documenti in formato SVG, nella gestione dell'uso SVG, nella gestione multi-colonna, nel trattamento preventivo, nel Flexbox con floats, nella gestione della classe attributo, nella gestione table handling, e con elementi di animazione SVG.
I buchi di sicurezza includono un out-of-bounds nella gestione della lettura del testo, bad casts nello splitting del blocco anonimo, la manipolazione in linea box e un buffer overflow nella libreria Skia dei disegni. Google corregge anche alcuni bug non relativi alla sicurezza. Tra le altre cose, è possibile che nella versione precedente non venga caricato il cursore e lo sfondo su qualche sito Web o alcuni plug-ins non funzionano.
L'use-after-free nella vulnerabilità dell'elemento involucro V8 è stato identificato dal ricercatore Chamal de Silva, che viene ricompensato con $ 1.000 (750 Euro). Le altre debolezze sono stati riportati da Miaubiz a cui andranno $ 9500, Arthur Gerkis ($ 5000) e Aki Helin di OUSPG. Oltre i premi individuali per aver trovato i bug, gli esperti sono stati premiati da Google con un extra di $ 10.000 (7,500 Euro) ciascuno, per il loro contributo negli ultimi mesi.
Nel complesso, Google pagherà un premio agli scopritori delle lacune di 17.500 dollari. "Chrome è il leader nella sicurezza e questo sarebbe impossibile senza la risoluzione dei problemi aggressivi da una vasta comunità possibile", ha scritto Google dipendente Jason Kersey nelle note di rilascio. Al fine di evitare situazioni spiacevoli, si consiglia agli utenti di Chrome di aggiornare all'ultima variante.
L'aggiornamento può essere fatto in automatico o dal sito ufficiale. Google Chrome per Windows è disponibile per il download qui. Google Chrome per Mac è disponibile per il download qui. Google Chrome per Linux è disponibile per il download qui. L'aggiornamento per Chrome 17 include anche una nuova versione di Adobe Flash Player che va a correggere due vulnerabilità considerate critiche dai tecnici di Adobe, che hanno fornito le note di rilascio.
Nessun commento:
Posta un commento