Компания Google выпустила новую версии интернет-обозревателя Google Chrome 44, в которой исправлены 43 уязвимости, значительное количество из которых было классифицировано как высокой степени опасности.
Две наиболее опасные проблемы, устраненные в Chrome 44, представляют собой уязвимости межсайтового скриптинга. Одна из них содержится в браузерном движке Blink, вторая присутствует в версии Chrome для Android. Универсальные уязвимости межсайтового скриптинга позволяют атакующим эксплуатировать XSS-бреши в самих браузерах, а не на сайтах. За каждую из уязвимостей обнаружившим их исследователям было выплачено по $7,5 тыс. в рамках программы Google по поиску брешей. В общем в рамках программы компания выплатила порядка $40 тыс.
Среди прочих брешей, исправленных в новом релизе, числятся три ошибки переполнения буфера в движке визуализации PDF-файлов pdfium (CVE-2015-1271, CVE-2015-1273, CVE-2015-1279), ряд ошибок использования после освобождения в различных компонентах браузера (CVE-2015-1276, CVE-2015-1282, CVE-2015-1284, CVE-2015-1272, CVE-2015-1277), повреждение памяти в skia (CVE-2015-1280), брешь, позволявшая обход CSP (CVE-2015-1281), уязвимость, связанная с неожиданным завершением процесса GPU (CVE-2015-1272) и пр. (Google/NovostIT)