Chrome wirbt mit der Veröffentlichung von Chrome 106 für verbesserte Sicherheit, das 20 bestehende Fehler behebt, davon fünf mit hohem Schweregrad.
Von den insgesamt 20 enthaltenen Sicherheitskorrekturen wurden 16 von externen Forschern gefunden Das Bug-Bounty-Programm von Google. In einem Blogbeitrag von Srinivas Sista von Google Chrome wurden die spezifischen CVEs aufgeführt, die von den Bug-Bounty-Jägern entdeckt wurden, darunter fünf mit hohem Schweregrad:
- CVE-2022-3304: Verwendung nach kostenloser Verwendung in CSS. Gemeldet von Anonym am 2022
- CVE-2022-3201: Unzureichende Validierung nicht vertrauenswürdiger Eingaben in Entwicklertools. Gemeldet von NDevTK am 2022
- CVE-2022-3305: Verwendung nach kostenloser Nutzung in Survey. Gemeldet von Nan Wang(@eternalsakura13) und Guang Gong vom 360 Vulnerability Research Institute am 2022
- CVE-2022-3306: Verwendung nach kostenloser Nutzung in Survey. Gemeldet von Nan Wang(@eternalsakura13) und Guang Gong vom 360 Vulnerability Research Institute am 2022
- CVE-2022-3307: Verwendung nach kostenloser Nutzung in Medien. Gemeldet von Anonymous Telecommunications Corp. Ltd. am 2022
Die mit Abstand größte Auszahlung für externe Forscher war ein Fehler, der zur neuesten Entwicklung beigetragen hat Sicherheitsupdate für Chrome 106lag laut Sista bei 9,000 US-Dollar, der niedrigste bei 1,000 US-Dollar. Viele Auszahlungsbeträge für andere Chrome-Bug-Jäger werden als „$TBD“ aufgeführt.
Wie üblich listete Google keine technischen Details zu den Fehlern auf.
„Wir möchten uns auch bei allen Sicherheitsforschern bedanken, die während des Entwicklungszyklus mit uns zusammengearbeitet haben, um zu verhindern, dass Sicherheitslücken jemals den stabilen Kanal erreichen“, schrieb Sista. „Wie üblich war unsere laufende interne Sicherheitsarbeit für eine Vielzahl von Korrekturen verantwortlich.“
