В очередной версии Google Chrome закрыли 60 уязвимостей

Компания Google выпустила обновление для своего браузера Chrome. В версии 73 исправили 60 багов, ни один из которых не является критическим. Недавно обнаруженную 0-day, которая давала преступникам возможность выполнить произвольный код, уже закрыли в версии 72.0.3626.121.

Chrome 73 автоматически блокирует загрузку контента из iframe-блоков, используемых для показа рекламы. Злоумышленники часто прячут в них эксплойты, внедряющие вредоносное ПО. Обнаружив в папке загрузок непонятный файл, жертва может случайно или из любопытства его открыть и тем самым запустить установку зловреда.

Пресекая попытки автоматически загрузить любые файлы из рекламных баннеров, Google планирует предотвратить атаки типа drive-by-download. Новая политика действует только в случае, если пользователь не взаимодействует с iframe-элементами. Если же он нажмет на объявление, запрет на загрузку будет снят.

Из 60 уязвимостей, закрытых в новом релизе, 18 обнаружили сторонние исследователи. Девять специалистов получили награды общей суммой $13,5 тыс.: одна премия в $7,5 тыс., четыре — по $1000 и еще четыре по $500.

В числе закрытых брешей c высоким уровнем угрозы числятся:

  • CVE-2019-5787: use-after-free в Canvas;
  • CVE-2019-5788: use-after-free в FileAPI;
  • CVE-2019-5789: use-after-free в WebMIDI;
  • CVE-2019-5790: переполнение буфера в V8;
  • CVE-2019-5791: перезапись освобожденного объекта объектом другого типа в V8;
  • CVE-2019-5792: целочисленное переполнение в PDFium.

В Google Chrome 73.0.3683.75 внесли улучшения для разработчиков — в частности, возможность создавать таблицы стилей и поддержку механизма Signed HTTP Exchanges (SXG). Последний позволяет доставлять контент с других сайтов без обращения к оригинальному хосту.

Среди визуальных новшеств — поддержка темного режима для пользователей macOS Mojave, а также задействование аппаратных клавиш для мультимедиа. Теперь на многих сервисах можно будет управлять воспроизведением и громкостью непосредственно с клавиатуры, даже если браузер работает в фоновом режиме.

Версия Chrome для Android позволит просматривать сохраненный в кэше контент даже без подключения к Интернету.

Дата: 2019-03-14 15:14:28

Источник: https://threatpost.ru/google-chrome-73-cometh-hooray/31848/