Компания Google продолжает удивлять пользователей своего веб-браузера, очередным обновлением безопасности, закрывающим уязвимости, датированные по классификации CVE 2011 годом. Новое обновление версии Chrome 19.0.1084.52 устраняет 13 уязвимостей, при этом две уязвимости (CVE-2011-3106 и CVE-2011-3108) носят критический характер. Как правило, "критические" уязвимости позволяют обойти среду ограниченного функционала именуемую "песочницей", в результате чего злоумышленникам предоставляется возможность получения полного контроля над системой. Критическая уязвимость CVE-2011-3106 обнаружена в механизмах обработки веб-сокетов SSL, а уязвимость CVE-2011-3108 проявляла себя в процессе обработки кэшированных данных. 9 закрытых уязвимостей имеют "высокий" уровень угроз, подразумевающих компрометацию пользовательских данных, сохраняемых сайтами в веб-браузере. Одна из таких уязвимостей (CVE-2011-3109), затрагивает систему графического интерфейса GTK, а следовательно ей подвержена лишь версия Chrome для Linux. Сразу четыре уязвимости (CVE-2011-3110, CVE-2011-3112, CVE-2011-3113 и CVE-2011-3114) закрыты в функциях обработки PDF-документов. Ошибки в обработке JavaScript стали причиной сразу трех уязвимостей с "высоким" уровнем угроз. Две из них, устранены в библиотеке v8 (CVE-2011-3115 - ошибки в обработке типов данных; CVE-2011-3103 - в функциях очистки памяти), а CVE-2011-3107 - в механизмах использования JavaScript расширениями. Последняя уязвимость с "высоким" уровнем угроз (CVE-2011-3105), содержалась в механизмах автоподстановки. Оставшиеся две уязвимости, носят "умеренный" уровень угроз, а обнаружены в функциях библиотек Skia и v8. По программе вознаграждения за обнаруженные уязвимости компанией Google было выплачено сторонним исследователям $2500 и специальное вознаграждение в $1337 за обнаружение "критической" уязвимости. Обновленная версия доступна для всех платформ (Windows, Mac, Linux и Chrome Frame) на веб-сайте Google, а также через систему автоматического веб-браузера Chrome. Учитывая критический характер обновления, разработчики рекомендуют провести обновление в кратчайшие сроки.
Источник