Google a Mozilla záplatují Chrome a Firefox

3. 3. 2011

Sdílet

Google podobně jako Mozilla před hackerským kláním CanSecWest skupiny Pwn2Own vydává aktualizaci prohlížeče Chrome.

Žádná ze záplatovaných zranitelností v Chrome není pokládána za kritickou; chyby jsou omezeny na prostor v sandboxu, a neměly by proto samy o sobě umožnit kompromitovat počítač. Technické podrobnosti nejsou známy, zranitelnosti ale měly být například ve zpracování formátu SVG, komponentě WebGL a v API pro hardwarovou akceleraci 3D grafiky.

Google vyplatil za nahlášení 19 zranitelností (16 z toho s rizikem high, tj. druhé nejvyšší hodnocení) tentokrát 14 000 dolarů. Nejlépe odměněným jednotlivcem byl Martin Barbella s celkem 3 000 dolarů. Aktuální verze Chrome má číslo 9.0.597.107; uživatelům by se opravy jako obvykle měly nainstalovat pomocí tiché aktualizace.

Mozilla ve stejné době vydala již dříve oznámené opravy Firefoxu, aktuální verze mají čísla 3.5.17 a 3.6.14. Zde již na rozdíl od Chrome řada zranitelností byla hodnocena jako kritické. Dvě z chyb byly v jádru prohlížeče, 3 při zpracování JavaScriptu a 1 lze zneužít dokonce i jen při zobrazení speciálně připraveného souboru JPG. Již dříve se vědělo také o zranitelnosti cross-site request forgery, CSFR.

(Viz také: Mozilla vydá odloženou bezpečnostní opravu Firefoxu.)

 

Poznámka: Před pokusy o lámání prohlížečů, k k nimž dojde příští týden v kanadském Vancouveru, lze dodat, že ani sandbox v Chrome není bez chyb. Google v něm už letos látal dvě zranitelnosti. Fakt ovšem je, že v uplynulých 2 letech se Chrome prolomit nepodařilo a odborníci tipují, že bude jediným neporaženým i letos.

ICTS24

Viz např. také: Chrome 9, sandbox a pokusy hackerů.