More

    Chrome 76 vá 43 lỗ hổng

    Google vừa phát hành phiên bản Chrome 76 bao gồm 43 bản vá lỗi an ninh, cùng nhiều cải tiến an toàn khác. 16/43 lỗ hổng do các nhà nghiên cứu độc lập báo cáo. Trong đó, 5 lỗi được đánh giá ở mức đnghiêm trọng cao, 4 lỗi ở mức trung bình và 7 lỗi ở mức thấp.

    Một trong những lỗi quan trọng nhất nằm trong use-after-free thuộc trình tải xuống trang offline, CVE-2019-5850, do Brendon Tiszka báo cáo và nhận được phần thưởng 10.000 USD.

    Tiếp theo là lỗ hổng CVE-2019-5860, một lỗi use-after-free trong PDFium, đã mang về cho một nhà nghiên cứu ẩn danh phần thưởng 6.000 USD. Google cũng trao 3.000 USD cho 2 nhà nghiên cứu đã tìm thấy 2 lỗ hổng nghiêm trọng cao khác, CVE-2019-5853 – lỗi bộ nhớ trong trình kiểm tra độ dài regrexp và CVE-2019-5851 – lỗi use-after-poison nằm trong nội dung audio offline.

    Google vẫn chưa tiết lộ phần thưởng dành cho lỗ hổng thứ 5 (CVE-2019-5859: res: URI có thể tải các trình duyệt thay thế).
    Lỗi nghiêm trọng ở mức trung bình đầu tiên được giải quyết trong Chrome 76 là CVE-2019-5856: Kiểm tra thiếu trên hệ thống tệp: các quyền URI. Đối với lỗi này, Google đã trao phần thưởng 5.000 USD cho Yongke Wang của Xuanwu Lab của Tencent.

    Phần thưởng không được trả cho người phát hiện 2 lỗi nghiêm trọng trung bình tiếp theo (CVE-2019-5863: lỗi use-after-free trong WebUSB trên Windows và CVE-2019-5855: lỗi tràn số nguyên trong PDFium). Phần thưởng cho lỗi nghiêm trọng trung bình thứ 4 (CVE-2019-5865: Qua mặt chế độ cách ly trang khỏi trình kết xuất bị xâm nhập) cũng không được tiết lộ.

    Các lỗ hổng ở mức nghiêm trọng thấp được xử lý là CVE-2019-5858: Lọc thiếu các tham số dịch vụ URL mở, CVE-2019-5864: Lọc thiếu cổng trong CORS cho tiện ích mở rộng, CVE-2019-5862: AppCache không mạnh đối với trình kết xuất bị xâm phạm, CVE-2019 -5861 – Nhấp vào vị trí được kiểm tra không chính xác, CVE-2019-5857 – So sánh -0 và null, CVE-2019-5854 – Tràn số nguyên trong kết xuất văn bản PDFium và CVE-2019-5852 – Rò rỉ đối tượng của các chức năng tiện ích.

    Chrome 76 cũng giải quyết một lỗ hổng cho phép trang web phát hiện người duyệt ở Chế độ ẩn danh bằng cách kiểm tra xem API FileSystem có bị tắt hay không (xảy ra mặc định trong Chế độ ẩn danh). Mặc dù ý tưởng là tránh để lại dấu vết hoạt động trên các thiết bị, các trang web đã lạm dụng kẽ hở để mang lại trải nghiệm khác cho người dùng.

    “Thay đổi sẽ ảnh hưởng đến các trang web sử dụng API FileSystem để chặn các phiên Chế độ ẩn danh và yêu cầu mọi người đăng nhập hoặc chuyển sang chế độ duyệt thông thường, với giả định rằng những cá nhân này đang cố gắng phá vỡ các khoản thanh toán có đồng hồ đo”, Google cho biết.

    Một cải tiến an ninh lớn khác trong Chrome 76 là tắt nội dung Flash mặc định, thay vì hỏi người dùng liệu có muốn cho phép chạy hay không. Tuy nhiên, người dùng có thể thay đổi cài đặt mặc định và cũng có thể liệt kê các trang web cụ thể để đảm bảo họ luôn có thể chạy plugin.

    Nguồn The Hacker News​

    Bài Viết Mới

    Lý do Galaxy Tab S7/S7+ là tablet đáng mua nhất phân khúc

    Galaxy Tab S7/ S7+ là những sản phẩm đáng mua nhất trong thế giới máy tỉnh bảng Android ở thời điểm hiện tại.

    Cách khắc phục các lỗi thường gặp trên iPhone

    Không có gì đáng thất vọng hơn một chiếc iPhone hoạt động không ổn định như bạn mong đợi. Các ứng dụng...

    Samsung giới thiệu Galaxy S20 FE tại Việt Nam giá 16 triệu đồng

    Samsung vừa âm thầm giới thiệu mẫu Galaxy S20 FE tại thị trường Việt Nam với nhiều tuỳ chọn màu sắc và màn hình tần số quét 120Hz cùng mức giá 15.990.000VNĐ.

    Làm sao đặt hình ảnh làm nền Powerpoint?

    Điều thú vị là mọi người có thể sử dụng bất kỳ hình ảnh nào họ muốn để đặt làm nền PowerPoint...

    Ai hưởng lợi nếu Huawei sụp đổ?

    Bất ngờ vượt qua Samsung để trở thành nhà sản xuất smartphone lớn nhất thế giới trong quý II, tuy nhiên tập...

    Related Stories

    1 Comment

    Comments are closed.

    Stay on op - Ge the daily news in your inbox