Пентестеры помогли Google исправить уязвимости в Chrome

На этой неделе Google выпустила обновления для браузера Chrome, которое устраняет 7 уязвимостей, в том числе 4 проблемы, о которых сообщили пентестеры.

CVE-2022-2007
– уязвимость использования после освобождения в WebGPU. Обнаружена исследователем Дэвидом Манучехри, который получил награду в размере $10 тыс. за нахождение проблемы;
CVE-2022-2011
– уязвимость использования после освобождения в ANGLE (движок графического слоя Google Chrome). Об ошибке сообщил SeongHwan Park (SeHwa);
CVE-2022-2008
– уязвимость неограниченного доступа к памяти в WebGL, о которой сообщил исследователь кибербезопасности VinCSS Тран Ван Кханг;
CVE-2022-2010
– уязвимость открывает доступ за пределами границ. О проблеме сообщил Марк Брэнд из Google Project Zero . Согласно политике Google, исследователь не получит награду за обнаружение.

Google еще определит суммы вознаграждения за обнаружение ошибок специалистам SeongHwan Park и Тран Ван Кханг

Актуальная версия Chrome 102.0.5005.115
сейчас доступна пользователям для установки. Google не упомянул об использовании какой-либо из этих уязвимостей злоумышленниками, но пользователям рекомендуется обновить браузер как можно скорее.

Ранее стало известно, что браузер может хранить конфиденциальные и учетные данные , а также cookie файлы в виде открытого текста в памяти. Недостаток содержится в браузерах на основе Chromium, в том числе Google Chrome, Microsoft Edge, Brave и Mozilla Firefox.

Источник: SecurityLab