В новой версии браузера Chrome закрыли 60 уязвимостей

Компания Google выпустила обновление для своего браузера Chrome. В версии 73 исправили 60 багов, ни один из которых не является критическим. Недавно обнаруженную 0-day, которая давала преступникам возможность выполнить произвольный код, уже закрыли в версии 72.0.3626.121.

Об этом пишет iToday со ссылкой на Threatpost.

Chrome 73 автоматически блокирует загрузку контента из iframe-блоков, используемых для показа рекламы. Злоумышленники часто прячут в них эксплойты, внедряющие вредоносное ПО. Обнаружив в папке загрузок непонятный файл, жертва может случайно или из любопытства его открыть и тем самым запустить установку зловреда.

Пресекая попытки автоматически загрузить любые файлы из рекламных баннеров, Google планирует предотвратить атаки типа drive-by-download. Новая политика действует только в случае, если пользователь не взаимодействует с iframe-элементами. Если же он нажмет на объявление, запрет на загрузку будет снят.

ЧИТАЙТЕ ТАКЖЕ:  Дыра Года: конфиденциальность и eHealth

Из 60 уязвимостей, закрытых в новом релизе, 18 обнаружили сторонние исследователи. Девять специалистов получили награды общей суммой $13,5 тыс.: одна премия в $7,5 тыс., четыре – по $1000 и еще четыре по $500.

В числе закрытых брешей c высоким уровнем угрозы числятся:

CVE-2019-5787: use-after-free в Canvas;

CVE-2019-5788: use-after-free в FileAPI;

CVE-2019-5789: use-after-free в WebMIDI;

CVE-2019-5790: переполнение буфера в V8;

CVE-2019-5791: перезапись освобожденного объекта объектом другого типа в V8;

CVE-2019-5792: целочисленное переполнение в PDFium.

В Google Chrome 73.0.3683.75 внесли улучшения для разработчиков – в частности, возможность создавать таблицы стилей и поддержку механизма Signed HTTP Exchanges (SXG). Последний позволяет доставлять контент с других сайтов без обращения к оригинальному хосту.

ЧИТАЙТЕ ТАКЖЕ:  Дыра Года: конфиденциальность и eHealth

Среди визуальных новшеств – поддержка темного режима для пользователей macOS Mojave, а также задействование аппаратных клавиш для мультимедиа. Теперь на многих сервисах можно будет управлять воспроизведением и громкостью непосредственно с клавиатуры, даже если браузер работает в фоновом режиме.

Версия Chrome для Android позволит просматривать сохраненный в кэше контент даже без подключения к Интернету.


Получайте и читайте наши новости там, где вам удобно — в Twitter или на Facebook. Также наш канал в Telegram дважды в день по будням утром и вечером публикует подборку свежих новостей рынка технологий.

Добавить комментарий