Google закрыла 10 дыр в Chrome 107 и выплатила исследователям $45 000

На этой неделе Google выпустила уже 107-ю версию браузера Chrome. Разработчики устранили десять уязвимостей, включая шесть опасных брешей, о которых компании сообщили сторонние исследователи в области кибербезопасности.

Четыре уязвимости высокой степени риска связаны с ошибкой использования динамической памяти (use-after-free). За их обнаружение Google заплатила экспертам в общей сложности 45 тысяч долларов.

Наиболее опасный баг — CVE-2022-3885 — затрагивает JavaScript- и WebAssembly-движок V8. Следующая по степени риска — CVE-2022-3886, которую нашли в компоненте Chrome для распознавания речи. За её обнаружение специалист получил $10 000.

Ещё одна use-after-free, затрагивающая компоненты Chrome Web Workers и WebCodecs, принесла исследователям 7 тысяч долларов.

Оставшиеся две опасные бреши в Chrome — CVE-2022-3889 (несоответствие используемых типов данных в движке V8) и CVE-2022-3890 (переполнение буфера в Crashpad) — также были закрыты последним апдейтом.

Всем пользователям советуем поставить патч. Номер актуальной сборки Chrome для macOS и Linux — 107.0.5304.110, для Windows — 107.0.5304.106/107.