В выпущенной на днях новой версии браузера Google Chrome было закрыто 52 уязвимости, пишет Threatpost. Сторонние исследователи обнаружили 36 из них — одну критическую ошибку, восемь багов высокого уровня угрозы, 17 — среднего и 10 — низкого.
Наиболее опасную проблему обнаружил ИБ-аналитик Гуань Гун (Guang Gong). Уязвимость типа use-after-free в медиакомпонентах, получившая идентификатор CVE-2019-5870, позволяла вызвать отказ в обслуживании или выполнить произвольный код в системе жертвы. За обнаружение этой ошибки исследователь получил награду в $7,5 тыс.
Кроме того, Гунь нашел три ошибки в движке V8: CVE-2019-5878 была связана с use-after-free, CVE-2019-5877 позволяла выйти за пределы выделенной области памяти (обе уязвимости получили высокий уровень угрозы), а CVE-2019-13670 — повредить память в regex.
Помимо исправления ошибок, в новой версии браузера появились и некоторые другие улучшения: начиная с Chrome 77, разработчики убрали из омнибокса отдельную отметку для сайтов с сертификатами EV SSL. Теперь название компании переместилось в отдельное выпадающее окно с информацией о странице, которое появляется, если нажать на значок замка в адресной строке. При безопасном подключении оно будет озаглавлено «Соединение защищено». В противном случае пользователь увидит предупреждение.
Также в Chrome 77 ограничили размер заголовка HTTP Referer четырьмя килобайтами, чтобы предотвратить хищение личной информации, например, через сканирование кэша.
Разработчик AlterOffice оспаривает решение об исключении из реестра отечественного ПО, называя это использованием административного ресурса и коррупцией при распределении бюджетных средств