Chrome prijst verbeterde beveiliging aan met de release van Chrome 106, die twintig bestaande bugs oplost, waarvan er vijf zeer ernstig zijn.
Van de in totaal twintig opgenomen beveiligingsoplossingen zijn er zestien door externe onderzoekers gevonden Het bugbountyprogramma van Google. In een blogpost van Srinivas Sista van Google Chrome worden de specifieke CVE’s opgesomd die door de bugpremiejagers zijn opgemerkt, waaronder vijf met een hoge ernst, die als volgt zijn:
- CVE-2022-3304: Gebruik daarna gratis in CSS. Gemeld door Anoniem op 2022-09-01
- CVE-2022-3201: Onvoldoende validatie van niet-vertrouwde invoer in Developer Tools. Gemeld door NDevTK op 2022-07-09
- CVE-2022-3305: Gebruik daarna gratis in Survey. Gerapporteerd door Nan Wang(@eternalsakura13) en Guang Gong van het 360 Vulnerability Research Institute op 2022-04-24
- CVE-2022-3306: Gebruik daarna gratis in Survey. Gerapporteerd door Nan Wang(@eternalsakura13) en Guang Gong van het 360 Vulnerability Research Institute op 2022-04-27
- CVE-2022-3307: Gebruik daarna gratis in Media. Gerapporteerd door Anonymous Telecommunications Corp. Ltd. op 2022-05-08
De grootste externe onderzoeker die tot nu toe heeft betaald voor een bug die heeft bijgedragen aan de nieuwste versie Chrome 106-beveiligingsupdate, volgens Sista, was $9,000, de laagste was $1,000. Veel uitbetalingsbedragen voor andere Chrome-bugjagers worden vermeld als '$TBD'.
Zoals gebruikelijk heeft Google geen technische details van de bugs vermeld.
“We willen ook alle beveiligingsonderzoekers bedanken die met ons hebben samengewerkt tijdens de ontwikkelingscyclus om te voorkomen dat beveiligingsbugs ooit het stabiele kanaal bereiken”, schreef Sista. “Zoals gewoonlijk was ons voortdurende interne beveiligingswerk verantwoordelijk voor een breed scala aan oplossingen.”
