Chrome hevder økt sikkerhet med utgivelsen av Chrome 106, som fikser 20 eksisterende feil, fem av dem med høy alvorlighetsgrad.
Av de 20 totale sikkerhetsrettelsene som ble inkludert, ble 16 funnet av eksterne forskere gjennom Googles bug bounty-program. Et blogginnlegg fra Google Chromes Srinivas Sista listet opp de spesifikke CVE-ene som ble oppdaget av bug-premiejegerne, inkludert fem utpekte høye alvorlighetsgrader, som er som følger:
- CVE-2022-3304: Bruk after free i CSS. Rapportert av Anonym 2022-09-01
- CVE-2022-3201: Utilstrekkelig validering av uklarerte inndata i utviklerverktøy. Rapportert av NDevTK 2022-07-09
- CVE-2022-3305: Bruk etter gratis i Survey. Rapportert av Nan Wang(@eternalsakura13) og Guang Gong fra 360 Vulnerability Research Institute 2022
- CVE-2022-3306: Bruk etter gratis i Survey. Rapportert av Nan Wang(@eternalsakura13) og Guang Gong fra 360 Vulnerability Research Institute 2022
- CVE-2022-3307: Bruk etter gratis i Media. Rapportert av Anonymous Telecommunications Corp. Ltd. 2022-05-08
Den største eksterne forskerutbetalingen for langt en feil som bidro til det siste Chrome 106 sikkerhetsoppdatering, ifølge Sista, var $9,000, det laveste var $1,000. Mange utbetalingsbeløp for andre Chrome-feiljegere er oppført som «$TBD».
Som vanlig listet ikke Google noen tekniske detaljer om feilene.
"Vi vil også takke alle sikkerhetsforskere som jobbet med oss under utviklingssyklusen for å forhindre at sikkerhetsfeil noen gang når den stabile kanalen," skrev Sista. "Som vanlig var vårt pågående interne sikkerhetsarbeid ansvarlig for et bredt spekter av rettelser."
