Google исправила в Chrome пять уязвимостей

В среду, 11 мая, Google выпустила обновления для своего браузера Chrome, исправляющие пять уязвимостей (три из них имеют высокий уровень опасности). Проблемы безопасности были обнаружены сторонними исследователями, получившими от Google вознаграждение на общую сумму в $20,337 тыс. Уязвимости позволяли удаленному злоумышленнику получить доступ к важным данным и выполнить произвольный код на целевой системе.

Две уязвимости с высоким уровнем опасности обнаружил польский ИБ-эксперт Мариуш Млынский (Mariusz Mlynski), которому компания выплатила $15,5 тыс. Уязвимости CVE-2016-1667 в DOM и CVE-2016-1668 в движке Blink V8 позволяли обойти политику единого происхождения. Третьей опасной уязвимостью является CVE-2016-1669 в движке V8. За сообщение о ней исследователь Чунву Хань (Choongwoo Han) получил от Google вознаграждение в размере $3 тыс. Эксплуатируя уязвимость, злоумышленник мог вызвать переполнение буфера и выполнить произвольный код.

За CVE-2016-1670, существующую из-за ошибки состояния операции, анонимному исследователю было выплачено $1,337 тыс. Уязвимость среднего уровня опасности CVE-2016-1671 существует из-за ошибки обхода каталога в файле схемы на Android и позволяет удаленному пользователю получить доступ к важным данным на системе. Обнаруживший ее исследователь Жанн Хорн (Jann Horn) получил $500.