Fundet af to Chromesårbarheder udløser stor dusør

Ny opdatering til Chrome retter flere alvorlige fejl.

Google meddelte mandag, at en sikkerhedsopdatering, der blev frigivet til Chrome-webbrowseren, lapper flere alvorlige sårbarheder. Det skriver Security Week.

Den seneste version af browseren til Windows-, Mac- og Linux -computere har version 92.0.4515.159 og indeholder rettelser til ni fejl, hvoraf syv af dem er fundet af eksterne researchere, dvs. folk uden for Googles organisation.

De mest alvorlige fejl har CVE-id’et CVE-2021-30598 og CVE-2021-30599, to type problemer i V8 JavaScript-motoren, der hver udløste 21.000 dollar for fundet.

Security Week har talt med researcheren bag fundet, der fortæller, at de to fejl typisk kan udnyttes ved at lokke en bruger til et ondsindet websted, og de giver angriberen mulighed for at kunne afvikle vilkårlig kode. Dog kræver det udnyttelse af separat sårbarhed. Google har også rettet en ’use-after-free’-fri fejl i udskrivning (CVE-2021-30600) og en anden i Extensions API (CVE-2021-30601). For hver af disse betalte Google 20.000 dollar.

Security Week skriver, at researchere har fundet masser af svagheder i Googles sandkassemiljø de sidste par år, og Google uddeler typisk betydelige dusører for disse typer fejl.

I år har Google rettet mere end en halv snes aktivt udnyttede 0-dagssårbarheder i Chrome sammen med sikkerhedsfejl, der kunne udnyttes gennem ondsindede udvidelser.

Links:

https://www.securityweek.com/google-awards-42000-two-serious-chrome-vulnerabilities