Stfw.RuChrome 22
🕛 27.09.2012, 05:21
Компания Google представила релиз web-браузера Chrome 22, доступного для платформ Linux, Mac OS X и Windows. Браузер построен на кодовой базе свободного проекта Chromium и отличается использованием логотипов Google, встроенной поддержкой Flash и PDF, наличием системы отправки уведомлений в случае краха, системой автоматической установки обновлений и передачей при поиске RLZ-параметров. В новой версии добавлена поддержка Mouse Lock API (Pointer Lock API), позволяющего создателям игр на языке JavaScript получить более полный контроль над мышью, в частности скрыть штатный указатель мыши и обеспечить собственную обработку перемещения мыши. Расширена поддержка платформы Windows 8. Продолжено оттачивание работы браузера на системах с экранами Retina Display (HiDPI), используемыми на новых MacBook Pro.
С позиции безопасности Chrome 22 является рекордным выпуском, как по важности и числу устранённых уязвимостей, так и по величине вознаграждений, выплаченных за обнаружение уязвимостей. Chrome 22 является первым в истории существования проекта выпуском, в котором устранены сразу две критические уязвимости, позволяющие обойти все уровни защиты браузера. Первая критическая уязвимость проявляется только на платформе Windows и вызвана возможностью инициирования повреждения памяти ядра ОС из пользовательского приложения. Вторая критическая проблема проявляется на платформе Linux и связана с возможностью вызвать крах приложения при обработке вкладок.
Всего в новой версии устранено 26 уязвимостей, из которых две помечены как критические, 15 как опасные, 6 как умеренные и три как незначительные. Многие из исправленных уязвимостей выявлены при помощи инструментария address-sanitizer, предназначенного для автоматизированного определения фактов обращения к освобождённым областям памяти, выхода за пределы границ выделенного буфера и некоторых других типов ошибок при работе с памятью. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила исследователям безопасности 29500 долларов (одна премия в 10 тыс. долларов, две по $5000, одна $2000, шесть по $1000 и три по $500). За выявление двух универсальных способов межсайтового скриптинга в подсистемах обработки фреймов и биндингах к движку v8, нашему соотечественнику Сергею Глазунову выплачены премии в 10 и 5 тысяч долларов.