В Chrome 106 устранили несколько уязвимостей высокой степени риска

Google отрапортовала об устранении шести опасных уязвимостей в браузере Chrome, включая UAF-баги (use-after-free). Новая версия интернет-обозревателя уже должна быть доступна пользователям Windows, Linux и macOS.

Обо всех новых проблемах разработчики узнали от сторонних исследователей в области кибербезопасности. В общей сумме корпорация выплатила 38 тысяч долларов за сообщения о багах.

Наиболее опасная уязвимость получила идентификатор CVE-2022-3445, она связана с некорректным использованием динамической памяти и затрагивает библиотеку Skia, являющуюся частью графического движка Chrome.

Согласно посту Google, два специалиста компании Qihoo 360 получили $15 000 за сообщение о CVE-2022-3445. Ещё $13 тыс. корпорация выплатила за информацию об уязвимости под идентификатором CVE-2022-3446 — переполнение буфера в WebSQL.

Две другие бреши — некорректная имплементация в Custom Tabs (CVE-2022-3447) и use-after-free в API Permissions (CVE-2022-3448) принесли исследователям $7500 и $2500 соответственно. Ещё пару проблем класса UAF нашли в Safe Browsing (CVE-2022-3449) и Peer Connection (CVE-2022-3450).

Технические детали всех уязвимостей будут опубликованы после того, как большинство пользователей Chrome установят последнюю версию браузера — 106.0.5249.119.