Пользователям Google Chrome рекомендуют проверить наличие обновлений и установить новую версию браузера. Разработчики выпустили релиз под номером 91.0.4472.77, в котором содержатся заплатки для ряда уязвимостей.
32 — общее число брешей, устранённых в новой версии Google Chrome. Восемь из них получили высокий уровень опасности.
Например, уязвимость под идентификатором CVE-2021-30521 представляет собой переполнение буфера в функции Autofill. Помимо неё, есть множество проблем вида «Use after free», которые затрагивают WebAudio (CVE-2021-30522), WebRTC (CVE-2021-30523), TabStrip (CVE-2021-30524), WebUI (CVE-2021-30527), TabGroups (CVE-2021-30525) и WebAuthentication (CVE-2021-30528).
Также опасной признана дыра CVE-2021-30526 (возможность записи за пределами границ, выявлена в TabStrip). Ещё восемь уязвимостей получили средний уровень опасности, среди них много проблем, связанных с недостаточным применением политик, но присутствуют и «Use after free» с записью за пределами границ.
Наименьшую опасность представляют пять оставшихся багов, которые по принципу также не отличаются от своих более серьёзных собратьев. Стоит отметить, что разработчики поработали в Chrome 91 над дополнительной защитой от атак NAT Slipstreaming. Теперь браузер блокирует порт 10080 (Firefox внедрил это правило ещё в ноябре 2020 года).
Напомним, что специалисты выявили в официальном магазине Chrome Web Store тысячи расширений для Google Chrome, которые мешали отрабатывать HTTP-заголовкам безопасности.
Источник: Google Chrome 91: устранены 32 дыры, усилена защита от NAT Slipstreaming
5 копеек от Лоуренса Абрамса \\\ Bleeping Computer
Google выпустил Chrome 91 сегодня, 25 мая 2021 года, для стабильного рабочего стола, и он включает улучшения безопасности, возможность копировать и вставлять файлы на веб-страницы, а также новые функции для разработчиков.
В Chrome 91 исправлено 32 уязвимости системы безопасности , восемь из которых имеют высокий уровень серьезности.
Сегодня Google продвинул Chrome 91 в стабильный канал, Chrome 92 в качестве новой бета-версии, а Chrome 93 будет в версии Canary.
Пользователи настольных компьютеров Windows, Mac и Linux могут перейти на Chrome 91, выбрав « Настройки» -> « Справка» -> « О Google Chrome» . Затем браузер автоматически проверит наличие нового обновления и установит его, когда оно станет доступным.
«Chrome поддерживает файлы через DataTransfer для перетаскивания, но не для буфера обмена», - поясняет страницу статуса этой функции в Google .
«Пользователям полезно иметь возможность использовать сочетания клавиш в буфере обмена, такие как Ctrl + C, Ctrl + V, для такой задачи, как прикрепление файла к электронному письму, а не только перетаскивание».
Атаки с использованием NAT Slipstreaming злоупотребляют функцией шлюза уровня приложений (ALG) маршрутизатора для получения доступа к любому порту внутренней сети, что потенциально позволяет злоумышленникам получить доступ к службам, которые обычно защищены маршрутизатором.
При определении того, следует ли блокировать порт , разработчики обнаружили, что программа резервного копирования Amanda и VMWare vCenter используют порт, но блокировка не влияет на них.
Bleeping Computer
32 — общее число брешей, устранённых в новой версии Google Chrome. Восемь из них получили высокий уровень опасности.
Например, уязвимость под идентификатором CVE-2021-30521 представляет собой переполнение буфера в функции Autofill. Помимо неё, есть множество проблем вида «Use after free», которые затрагивают WebAudio (CVE-2021-30522), WebRTC (CVE-2021-30523), TabStrip (CVE-2021-30524), WebUI (CVE-2021-30527), TabGroups (CVE-2021-30525) и WebAuthentication (CVE-2021-30528).
Также опасной признана дыра CVE-2021-30526 (возможность записи за пределами границ, выявлена в TabStrip). Ещё восемь уязвимостей получили средний уровень опасности, среди них много проблем, связанных с недостаточным применением политик, но присутствуют и «Use after free» с записью за пределами границ.
Наименьшую опасность представляют пять оставшихся багов, которые по принципу также не отличаются от своих более серьёзных собратьев. Стоит отметить, что разработчики поработали в Chrome 91 над дополнительной защитой от атак NAT Slipstreaming. Теперь браузер блокирует порт 10080 (Firefox внедрил это правило ещё в ноябре 2020 года).
Напомним, что специалисты выявили в официальном магазине Chrome Web Store тысячи расширений для Google Chrome, которые мешали отрабатывать HTTP-заголовкам безопасности.
Источник: Google Chrome 91: устранены 32 дыры, усилена защита от NAT Slipstreaming
5 копеек от Лоуренса Абрамса \\\ Bleeping Computer
Google выпустил Chrome 91 сегодня, 25 мая 2021 года, для стабильного рабочего стола, и он включает улучшения безопасности, возможность копировать и вставлять файлы на веб-страницы, а также новые функции для разработчиков.
В Chrome 91 исправлено 32 уязвимости системы безопасности , восемь из которых имеют высокий уровень серьезности.
Сегодня Google продвинул Chrome 91 в стабильный канал, Chrome 92 в качестве новой бета-версии, а Chrome 93 будет в версии Canary.
Пользователи настольных компьютеров Windows, Mac и Linux могут перейти на Chrome 91, выбрав « Настройки» -> « Справка» -> « О Google Chrome» . Затем браузер автоматически проверит наличие нового обновления и установит его, когда оно станет доступным.
Буфер обмена: поддержка файлов только для чтения
Этот Google Chrome предоставляет очень полезную функцию для пользователей веб-почты, поскольку теперь они могут копировать и вставлять файл в сообщение электронной почты, чтобы он автоматически прикреплялся.«Chrome поддерживает файлы через DataTransfer для перетаскивания, но не для буфера обмена», - поясняет страницу статуса этой функции в Google .
«Пользователям полезно иметь возможность использовать сочетания клавиш в буфере обмена, такие как Ctrl + C, Ctrl + V, для такой задачи, как прикрепление файла к электронному письму, а не только перетаскивание».
Постоянная защита NAT Slipstreaming
Chrome 91 включает дополнительную защиту от атак NAT Slipstreaming, блокируя порт 10080, который Firefox уже заблокировал с ноября 2020 года.Атаки с использованием NAT Slipstreaming злоупотребляют функцией шлюза уровня приложений (ALG) маршрутизатора для получения доступа к любому порту внутренней сети, что потенциально позволяет злоумышленникам получить доступ к службам, которые обычно защищены маршрутизатором.
При определении того, следует ли блокировать порт , разработчики обнаружили, что программа резервного копирования Amanda и VMWare vCenter используют порт, но блокировка не влияет на них.
Другие изменения разработчика в Chrome 91
Этот выпуск содержит множество новых API, пробных версий и изменений в Google Chrome. Ниже мы перечислили основные изменения разработчика:- API GravitySensor
- Пользовательские стили счетчиков CSS
- Модули JSON
- WebOTP API: поддержка iframe из разных источников
- WebSockets через HTTP / 2
- WebTransport
Bleeping Computer
Последнее редактирование: