安全研究

业界动态
Chrome发布新版本了 Chrome 57修复了36个漏洞 同时也奖励了多位研究员

终于升级了,就在去年年底,攻击者利用Chrome零日漏洞传播安卓木马Svpeng 已感染几十万安卓设备 Chrome发布57版本。该最新版本新增了数个特性,包括提供CSS网格布局模块和各种功能优化。   

 

Chrome 57修复了36个漏洞   

 

Chrome 57中修复了数个媒体安全问题,这些问题包括Omnibox中的地址欺骗问题、Blink中的内容安全策略绕过、Cast中的cookie错误处理、Skia中的堆溢出、GuestView中的两个释放后使用问题以及V8、XSS Auditor和Blink中的信息泄露问题。  

 

因发现Chrome 57中的安全漏洞而获得奖励的研究员包括Project Srishti的Ashfaq Ansari、Holger Fuhrmannek、腾讯公司的刘克、Enzo Aguado、腾讯公司的王永可、Choongwoo Han、jinmo123、Jordi Chancel、Nicolai Grødum、Mike Ruddy、Fortinet公司的Kushal Arvind Shah、Dhaval Kapil和Masato Kinugawa。有些上报漏洞的个人希望不愿公开身份。   

 

Google Bug奖励计划去年支付了300多万美元   

 

Google自2010年开启了Bug奖励计划,已支付900多万美元的奖金,其中去年就支付了300多万美元。鉴于漏洞越发难以发现,该技术巨头决定为发现关键问题的发现者提供更大奖励。该公司在上周向研究员发布通知,表示发现远程代码执行漏洞的奖励已提升至31337美元。   

在Chrome 57中,超过一半由外部研究员上报,他们为此获得了3.8万美元的奖励。从奖金额度看,最严重的漏洞是  V8 javascript引擎中的内存破坏漏洞(CVE-2017-5030)。Brendon Tiszka因发现此漏洞而获得7500美元。   

研究员Looben Yang因发现了近似本地图形层引擎(ANGLE)中的释放后使用漏洞(CVE-2017-5031)而获得了5000美元奖金。   

有些专家因发现了多个高危漏洞而获得500至3000美元不等的奖金,这些漏洞包括PDFium中的一个越界写入漏洞、libxslt中的一个整数溢出漏洞、PDFium中的三个释放后使用漏洞、Omnibox的安全用户界面错误以及ChunkDemuxer中的多个越界写入漏洞。   

 

Chrome v57.0.2987.98 下载   

 

Google Chrome 稳定版    

Google Chrome v57.0.2987.98 无更新功能版 32位    

http://dl.google.com/release2/APuh8rZS-geL/57.0.2987.98_chrome_installer.exe   

Google Chrome v57.0.2987.98 无更新功能版 64位    

http://dl.google.com/release2/AwAZd3LizTI/57.0.2987.98_chrome_installer.exe   

 

本文由:securityWeek 发布,版权归属于原作者。                        
如果转载,请注明出处及本文链接:                        
http://toutiao.secjia.com/chrome-57-fix-36-vulnerabilities
如果此文章侵权,请留言,我们进行删除。


浏览次数:

关 闭