H Google ανακοίνωσε αυτήν την εβδομάδα την κυκλοφορία μιας ενημέρωσης του προγράμματος περιήγησης Chrome που επιλύει συνολικά 13 ευπάθειες, συμπεριλαμβανομένων εννέα που αναφέρθηκαν από εξωτερικούς ερευνητές.
Από τις εξωτερικά αναφερόμενες τρύπες ασφαλείας, επτά είναι σφάλματα χωρίς χρήση – αυτοί οι τύποι ευπάθειας θα μπορούσαν να οδηγήσουν σε αυθαίρετη εκτέλεση κώδικα.
Με βάση τις αξιολογήσεις σοβαρότητας και τα επί του παρόντος καταχωρισμένα επιδόματα σφαλμάτων, το πιο σημαντικό από αυτά τα ελαττώματα είναι το CVE-2022-1633, ένα υψηλής σοβαρότητας χρήση μετά τη δωρεάν στο Sharesheet που αναφέρθηκε από τον Khalil Zhani, ο οποίος έλαβε ανταμοιβή 5.000 $ για το εύρημα.
Ο ίδιος ερευνητής ανέφερε το CVE-2022-1634, ένα υψηλής σοβαρότητας χρήση-μετά-δωρεάν στο περιβάλλον χρήστη του προγράμματος περιήγησης, για το οποίο βραβεύτηκε με $3.000.
Το CVE-2022-1635, ένα υψηλής σοβαρότητας χρήση-μετά-δωρεάν στις Προτροπές αδειών, το οποίο αναφέρθηκε από έναν ανώνυμο ερευνητή, πληροί επίσης τις προϋποθέσεις για μια πληρωμή επιχορήγησης σφαλμάτων 3.000 $.
Σύμφωνα με τις πολιτικές της Google, ωστόσο, το CVE-2022-1636, ένα υψηλής σοβαρότητας χρήση μετά τη δωρεάν σε API απόδοσης, που αναφέρεται από τον Seth Brenith της Microsoft, δεν πληροί τις προϋποθέσεις για ανταμοιβή.
Η Google σημειώνει στην προειδοποίησή ότι δεν έχει ακόμη καθορίσει τα επιδόματα σφαλμάτων που θα διανεμηθούν για τέσσερα άλλα τρωτά σημεία υψηλής σοβαρότητας που επιλύθηκαν με αυτήν την ενημέρωση του Chrome.
Αυτά περιλαμβάνουν CVE-2022-1637 (ακατάλληλη υλοποίηση σε Περιεχόμενα Ιστού), CVE-2022-1638 (Υπερχείλιση buffer σωρού στη διεθνοποίηση V8), CVE-2022-1639 (χρήση-μετά-δωρεάν σε ANGLE) και CVE-2022-1640 (χρήση-μετά-δωρεάν στην Κοινή χρήση).
Η ένατη ευπάθεια επιλύθηκε με αυτήν την ενημέρωση του προγράμματος περιήγησης και η έβδομη χρήση μετά τη δωρεάν στη δέσμη χαρακτηρίζεται ως “μέτριας σοβαρότητας”. Παρακολούθηση ως CVE-2022-1641, το σφάλμα έλαβε ανταμοιβή 5.000 $ bounty, λέει η Google.
Η πιο πρόσφατη επανάληψη του Chrome διατίθεται τώρα σε χρήστες Windows, Mac και Linux ως έκδοση 101.0.4951.64. Η Google δεν έκανε καμία αναφορά σε καμία από αυτές τις ευπάθειες που εκμεταλλεύονται σε επιθέσεις.