Chrome menggembar-gemborkan peningkatan keamanan dengan dirilisnya Chrome 106, yang memperbaiki 20 bug yang ada, lima di antaranya memiliki tingkat keparahan tinggi.
Dari total 20 perbaikan keamanan yang disertakan, 16 ditemukan oleh peneliti eksternal melalui Program hadiah bug Google. Sebuah postingan blog dari Srinivas Sista dari Google Chrome mencantumkan CVE spesifik yang ditemukan oleh pemburu hadiah bug, termasuk lima yang ditandai dengan tingkat keparahan tinggi, yaitu sebagai berikut:
- CVE-2022-3304: Gunakan setelah gratis di CSS. Dilaporkan oleh Anonymous pada 2022-09-01
- CVE-2022-3201: Validasi masukan tidak tepercaya di Alat Pengembang tidak memadai. Dilaporkan oleh NDevTK pada 2022-07-09
- CVE-2022-3305: Gunakan setelah gratis di Survei. Dilaporkan oleh Nan Wang(@eternalsakura13) dan Guang Gong dari 360 Vulnerability Research Institute pada 2022-04-24
- CVE-2022-3306: Gunakan setelah gratis di Survei. Dilaporkan oleh Nan Wang(@eternalsakura13) dan Guang Gong dari 360 Vulnerability Research Institute pada 2022-04-27
- CVE-2022-3307: Gunakan setelah gratis di Media. Dilaporkan oleh Anonymous Telecommunications Corp. Ltd. pada 2022-05-08
Pembayaran peneliti eksternal terbesar sejauh ini merupakan bug yang berkontribusi terbaru Pembaruan keamanan Chrome 106, menurut Sista, adalah $9,000, paling rendah $1,000. Banyak jumlah pembayaran untuk pemburu bug Chrome lainnya terdaftar sebagai โ$TBD.โ
Seperti biasa, Google tidak mencantumkan detail teknis apa pun dari bug tersebut.
โKami juga ingin mengucapkan terima kasih kepada semua peneliti keamanan yang bekerja bersama kami selama siklus pengembangan untuk mencegah bug keamanan mencapai saluran stabil,โ tulis Sista. โSeperti biasa, pekerjaan keamanan internal kami yang berkelanjutan bertanggung jawab atas berbagai perbaikan.โ
