Русский
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
ДомПервое еженедельное обновление безопасности Chrome: высокий уровень исправлений
Google выпустила первое еженедельное обновление безопасности Chrome, которое исправляет пять уязвимостей безопасности памяти, в том числе четыре с высоким уровнем серьезности.
К
Флипборд
Реддит
Пинтерест
Электронная почта
На этой неделе Google анонсировала обновление безопасности Chrome 116, которое исправляет пять уязвимостей безопасности памяти, о которых сообщили сторонние исследователи, включая четыре проблемы с рейтингом «высокой серьезности».
Судя по вознаграждению за ошибки, которое Google выплачивает за эти недостатки, наиболее серьезной из них является CVE-2023-4430, ошибка использования после освобождения в Vulkan, кроссплатформенном открытом стандарте для 3D-графики.
Об уязвимости сообщил Кэссиди Ким, который получил вознаграждение в размере 10 000 долларов США за находку, отмечает Google в своем сообщении.
На очереди еще одна проблема использования после освобождения, на этот раз в компоненте Loader. Уязвимость отслеживается как CVE-2023-4429, о ней сообщил анонимный исследователь, получивший вознаграждение в размере 3000 долларов США.
Интернет-гигант заявляет, что он также выплатил вознаграждение в размере 2000 долларов за серьезную уязвимость внешнего доступа к памяти в CSS.
Однако, согласно политике Google, вознаграждение за ошибки не будет выплачиваться за аналогичную проблему в движке JavaScript V8, о которой сообщил исследователь Google Project Zero, а также за ошибку доступа к памяти средней степени тяжести в Fonts. Об этом сообщил исследователь безопасности Microsoft.
Последняя итерация Chrome выпускается как версия 116.0.5845.110 для Mac и Linux и как версии 116.0.5845.110/.111 для Windows.
Google не упоминает ни о какой из этих уязвимостей, используемых в атаках.
Обновление выходит через неделю после выпуска Chrome 116 в стабильной версии, что соответствует ранее изложенным планам Google по выпуску исправлений для новых уязвимостей быстрее, чем раньше.
Хотя основные версии Chrome будут по-прежнему выходить каждые четыре недели, стабильные обновления безопасности будут выпускаться еженедельно, чтобы сократить окно для n-дневных эксплойтов. С 2020 года интернет-гигант выпускает стабильные обновления каждые две недели.
Связанный:Chrome 116 исправлений 26 уязвимостей
Связанный:Google наградил более 60 000 долларов США за уязвимости V8, исправленные с помощью обновления Chrome 115
Связанный:Chrome 115 исправляет 20 уязвимостей
Йонут Аргире — международный корреспондент SecurityWeek.
Подпишитесь на брифинг SecurityWeek по электронной почте, чтобы быть в курсе последних угроз, тенденций и технологий, а также получать полезные колонки от отраслевых экспертов.
Присоединяйтесь к экспертам по безопасности, которые обсуждают неиспользованный потенциал ZTNA как по снижению киберрисков, так и по расширению возможностей бизнеса.
Присоединяйтесь к вебинару Microsoft и Finite State, на котором будет представлена новая стратегия обеспечения безопасности цепочки поставок программного обеспечения.
Когда правила раскрытия информации о киберинцидентах SEC вступят в силу, организации будут вынуждены серьезно задуматься о предоставлении места за столом переговоров руководителям служб безопасности. (Марк Соломон)
Удаленная работа никуда не денется, и предприятиям следует продолжать следить за тем, чтобы их основные формы связи были правильно настроены и защищены. (Мэтт Хонеа)
Сложность и сложность распределенных облачных сред часто требуют управления множеством стеков инфраструктуры, технологий и безопасности, множеством механизмов политики, множеством наборов средств контроля и множеством инвентаризаций активов. (Джошуа Гольдфарб)
Автоматизированная оценка мер безопасности повышает уровень безопасности, проверяя правильные, согласованные конфигурации мер безопасности, а не просто подтверждая их существование. (Торстен Джордж)
Контекст помогает завершить картину и дает полезную информацию, которую службы безопасности могут использовать для более быстрого принятия обоснованных решений (Мэтт Уилсон).
Флипборд
Реддит
Пинтерест
Электронная почта
Менее чем через неделю после объявления о приостановке обслуживания на неопределенный срок из-за конфликта с (на тот момент) неназванным исследователем безопасности...