グーグル 発表しました Chrome ブラウザの新しいバージョンのリリース. リリースでは 78.0.3904.70, 開発者は 30 を超える脆弱性を排除しました, ユーザーのセキュリティを強化する多くのメカニズムも追加されました, ただし、DNS-over-HTTPS サポートはまだアクティブ化されていません.
Windows用アプリケーション, macOS と Linux は次回の起動時に自動的に更新されます, およびモバイル版, いつものように, 後で更新情報を受け取ります.
「Chrome チームは Chrome のプロモーションを発表できることを嬉しく思います」 78 Windows の安定したチャネルへ, MacとLinux. クロム 78.0.3904.70 多数の修正と改善が含まれています - 変更のリストはログで確認できます。」, — Chrome 開発者向けに書く.
新たなリリースでは, パッチを適用したプログラムの作成者 37 バグ, そのうちのいくつかは内部テストチームによって特定されました, 残りはサードパーティの専門家によって発見されました.
Googleが支払った $35 千 Semmle Security の情報セキュリティ アナリストが発見した 2 つの脆弱性については、こちらをご覧ください。 マン・ユエ・モ.
最初のバグ, 識別子を受け取ったのは CVE-2019-13699, メディア コンテンツを表示するときの解放後の使用エラーに関連する, そして二番目, として登録されている CVE-2019-13700, でのバッファ オーバーフローを指します。 ブリンクエンジン.
もう 1 つの重大な欠点により、攻撃者はブラウザのナビゲーション要素で URL を偽装できるようになりました。. 独立した情報セキュリティ専門家 デビッド・エルセグ 識別子で追跡できるエラーが見つかりました CVE-2019-13701. バグ報奨金プログラムの一環として, グーグルは研究者に報酬を支払った $1 千.
こちらもお読みください: Googleはサイトを強制的にHTTPSに切り替える方法を発見した
Chrome の 78 バージョンで修正された残りのバグの脅威レベルは中および低です。. 脆弱性はバッファオーバーフローに関連しています, 許容メモリ範囲外の読み取り, 権限の昇格, その他のエラー.
このブラウザのリリースから, GoogleはDNS-over-HTTPSのテストを開始すべきだった (DoH) Linux と iOS を除くすべてのプラットフォームのメカニズム. これは実験的なプロトコルです, これを使用すると、中間者攻撃によって DNS アクセス許可が傍受される可能性が低くなります。, データは安全な HTTPS チャネル経由で送信されるため、.
「この実験は、すでに DoH をサポートしている DNS プロバイダーと協力して行われます。, 相互ユーザーを現在の DNS サービスの DoH バージョンにアップグレードすることで、相互ユーザーのセキュリティとプライバシーを向上させることを目的としています。. 私たちのアプローチでは, 使用されるDNSサービスは変更されません, プロトコルだけがそうするのです」, — Kenji Baheux が書く, Chrome プロダクト マネージャー.
しかし, ブラウザ開発者 遅れました このオプションをバージョンに含める 79.
別の実験的イノベーションが予定通りに稼働しました: ブラウザの 78 番目のリリースでは, の社内サービスが開始されました パスワード漏洩の検出, パスワード盗難の可能性についてユーザーに警告するように設計されています. この機能が有効になっている場合, Chrome は、保存されているすべての秘密鍵を侵害された認証情報のデータベースと照合し、一致するものが見つかった場合に通知を表示します。.
同様の機会が Firefox の 70 バージョンでも登場しました。, 解放された 数日前に. 仕組み, プラグインとして実装される, これは Lockwise と呼ばれ、最新のブラウザ リリースではデフォルトで有効になります。.
コメントを残す