Google uvolnil aktualizace zabezpečení pro Chrome 126. V nich opravuje celkem deset bezpečnostních chyb, včetně osmi závažných zranitelností nahlášených externími výzkumníky.
Cílem nejnovějších aktualizací internetového prohlížeče je zejména opravit problémy se zabezpečením paměťových operací. I přes neustálou snahu vývojářů o odstranění tohoto druhu chyb, je pořád většina nahlášených bezpečnostních nedostatků právě v této oblasti.
Nové verze 126.0.6478.182/183 pro Windows, respektive macOS, a 126.0.6478.182 pro Linux mají minimalizovat riziko úniku ze sandboxu a zranitelnost vzdáleného spuštění kódu.
Zranitelnosti internetového prohlížeče Chrome a jaké kroky by uživatelé měli podniknout
Kromě desktopové verze prohlížeče Chrome byla aktualizována také verze pro Android na sestavení 126.0.6478.186 a uvolněna na Google Play. I zde jsou zahrnuty bezpečnostní aktualizace z nejnovějších verzí pro stolní počítače.
Google zdůrazňuje, že žádná ze zranitelností nebyla dosud aktivně zneužita. Uživatelé by však měli své prohlížeče v zájmu bezpečnosti neprodleně aktualizovat.
Nové aktualizace opravují nevhodnou implementaci a záměnu typů v enginu V8 JavaScriptu, a také několik chyb v nahrávání obrazovky, streamování médií, zvuku a navigaci.
Mohlo by vás zajímat
Vývojáři opravili i problém s "Race condition" ve vývojářských nástrojích, který může vést k nekonzistentnímu chování a neočekávaným pádům. Jde o typ softwarové chyby, která se vyskytuje, když se časování nebo pořadí vykonávání více operací překrývá takovým způsobem, že ovlivňuje konečný výsledek. V kontextu Chrome se může vyskytnout například při více voláních API.
Vývojáři také opravují paměťovou chybu, která se vyskytuje, pokud dojde k přístupu mimo hranice alokované paměti (Out of Bounds). Její mírnější projev je pád aplikace, při zneužití ale umožní i vzdálené spuštění kódu.
Výzkumníky v oblasti bezpečnosti Google odměňuje
Google v rámci programu odměn za objevování chyb (Bug Bounty) vyplácí nemalé částky. Bezpečnostním výzkumníkům, kteří se na odhalování chyb podílejí, poslala za nově nahlášené zranitelnosti více než 32 000 USD.
Zdroj: Security Week