Google łata sześć luk w Chrome

Pod koniec ubiegłego tygodnia koncern Google po raz kolejny zaktualizował przeglądarkę Chrome. Z programu usunięto sześć poważnych błędów w zabezpieczeniach, a dodatkowo zaktualizowano czarną listę certyfikatów SSL (ma to związek z ujawnioną w ubiegłym tygodniu kradzieżą certyfikatów z firmy Comodo).

Wszystkie luki usunięte z najnowszego wydania - oznaczonego numerem 10.0.648.204 - pracownicy Google uznali za "wysoce niebezpieczne". To drugi stopień zagrożenia (groźniejsze są tylko luki krytyczne, czyli błędy pozwalające na automatyczne uruchomienie złośliwego kodu).

Całą szóstka luk związana była z obsługą pamięci (usunięto po trzy luki typu "use after free" oraz "stale pointer"). Bardziej szczegółowych informacji o dziurach na razie nie podano - ale to standardowa praktyka Google. Koncern po udostępnieniu nowej wersji swojej przeglądarki zwykł blokować na pewien czas dostęp do wpisów w bazie danych, zawierających informacje o załatanych właśnie błędach. Dostęp zostanie przywrócony dopiero za kilka tygodni, gdy zdecydowana większość użytkowników Google Chrome zaktualizuje swoje aplikacje i niebezpieczeństwo ataku będzie znikome.

Koncern ujawnił, że błędy zostały wykryte przez trzech niezależnych specjalistów ds. bezpieczeństwa, którym wypłacono nagrody finansowe o łącznej wysokości 8,5 tys. USD (Google od lat płaci za zgłaszanie błędów w jego produktach). Większość tej kwoty - 7 tys. USD - zgarnął Sergey Glazunov, który wykrył już kilkanaście błędów w Chrome.

Warto dodać, że Glazunow zainkasował już od Google w sumie ponad 20 tys. USD - to on wykrył 14 z 54 zgłoszonych do tej pory przez niezależnych specjalistów dziur w Chrome. W sumie koncern wypłacił wszystkim "łowcom błędów" blisko 60 tys. USD.

Najnowsza wersja Chrome jest już szóstą aktualizacją tej przeglądarki udostępnioną w tym roku. Przedstawiciele Google poinformowali, że w najnowszej wersji nie tylko załatano błędy, ale także wprowadzono zmiany poprawiające wydajność i stabilność aplikacji (w wersji dla Linuksa usprawniono menedżera haseł). Koncern dodał również nowe pozycje do czarnej listy certyfikatów SSL (trafiają na nią certyfikaty, które zostały przejęte przez przestępców i mogą zostać wykorzystane do atakowania internautów).

Przyczyną tej ostatniej aktualizacji było niedawne włamanie do systemu informatycznego firmy Comodo i kradzież dziewięciu jej certyfikatów (producenci wszystkich czołowych przeglądarek - Mozilla, Microsoft i Google - wprowadzili już do swoich czarnych list odpowiednie pozycje).

Google Chrome 10 dostępna jest da Windows, Linuksa i Mac OS X. Program aktualizuje się automatycznie - jeśli użytkownik chce sprawdzić, czy ma zainstalowaną najnowszą wersję, powinien skorzystać z polecenia Sprawdź dostępność aktualizacji (dostępnej w menu "O Google Chrome").


Zobacz również