Google ha patchato 12 vulnerabilità in Chrome, la seconda volta in otto giorni dopo che la società di ricerca ha aggiornato il suo browser portandolo alla versione 18.0.1025.151. Otto vulnerabilità della dozzina sono stati identificate come "use-after-free bugs", un tipo comune di vulnerabilità di memoria che i ricercatori hanno trovato in gran numero all'interno di Google Chrome utilizzando proprio lo strumento di rilevamento AddressSanitizer. Sette dei 12 bug sono stati classificati "alti", il secondo più grave nel sistema di punteggio ranking di Google. Quattro sono stati segnati "medi" e uno è stato etichettato come "basso".
Google ha pagato 6.000 dollari ai tre ricercatori per la segnalazione delle sette vulnerabilità. Gli altri sono stati rinvenuti dal gruppo di sicurezza proprio di Google o da ricercatori che non erano eleggibili per un risarcimento per diversi motivi. Uno di questi era stato inoltrato a Google da HP TippingPoint, che gestisce la Zero Day Initiative (ZDI) il bug bounty program. Google non paga premi di vulnerabilità presentati da ZDI - che premia solo i ricercatori che non sono stati ricompensati - una decisione che ha creato attrito in passato tra Google e ZDI.
Tra coloro che hanno ricevuto assegni vi sono Arthur Gerkis e qualcuno che va sotto il nickname "miaubiz", a due dei tre ricercatori che sono stati assegnati speciali premi da 10.000 dollari un mese fa per quello che Google chiama di "costanti e contributi straordinari". Miaubiz ha portato a casa 4.500 dollari per il suo lavoro. Sergey Glazunov, tra coloro che hanno intascato 60.000 dollari al Pwn2Own la sfida dell'hacking che Google ha sponsorizzato il mese scorso, ha riferito due delle 12 vulnerabilità. Nessuno dei due era abbastanza significativa da votare un pagamento di taglie, comunque.
Google ha pagato più di 216.000 dollari in premi bug quest'anno, tra cui 120 mila dollari distribuiti nel corso Pwn2Own. L'aggiornamento di Chrome 18 comprende anche una nuova versione di Adobe Flash Player che patcha due vulnerabilità critiche di corruzione della memoria nella interfaccia Chrome. La coppia, unica per il Flash Player in bundle con il browser, è stata riportate da un ingegnere di sicurezza Google e un componente del team del gruppo di ricerca IBM 's X-Force. Secondo il bollettino Google ha risolto anche alcuni problemi non relativi alla sicurezza.
Tra questi alcuni relativi all'accelerazione hardware, una caratteristica attiva in Chrome quando la versione 18 ha debuttato il 28 marzo. Chrome ha rappresentato il 18,6% dei browser usati in tutto il mondo il mese scorso, una diminuzione di circa un terzo di punto percentuale da febbraio, ha detto il vendor di misura Internet Net Applications all'inizio di questa settimana. La versione modificata di Chrome 18 può essere scaricata per Windows, Mac OS X e Linux dal sito web di Google. Copie già installate del browser verranno aggiornate automaticamente dal servizio silenzioso di Chrome.
Via: Computer World
Nessun commento:
Posta un commento