Chrome đang quảng cáo về khả năng bảo mật được tăng cường với việc phát hành Chrome 106, sửa 20 lỗi hiện có, XNUMX trong số đó có mức độ nghiêm trọng cao.
Trong tổng số 20 bản sửa lỗi bảo mật được đưa vào, 16 bản đã được các nhà nghiên cứu bên ngoài tìm thấy thông qua Chương trình thưởng lỗi của Google. Một bài đăng trên blog từ Srinivas Sista của Google Chrome đã liệt kê các CVE cụ thể được phát hiện bởi những người săn lỗi, bao gồm 5 mức độ nghiêm trọng cao được chỉ định như sau:
- CVE-2022-3304: Sử dụng sau khi miễn phí trong CSS. Báo cáo bởi Anonymous vào 2022-09-01
- CVE-2022-3201: Xác thực đầu vào không đáng tin cậy trong Công cụ dành cho nhà phát triển không đầy đủ. Được báo cáo bởi NDevTK vào ngày 2022-07-09
- CVE-2022-3305: Sử dụng sau khi miễn phí trong Survey. Báo cáo của Nan Wang(@eternalsakura13) và Quảng Công của Viện nghiên cứu lỗ hổng 360 vào ngày 2022-04-24
- CVE-2022-3306: Sử dụng sau khi miễn phí trong Survey. Báo cáo của Nan Wang(@eternalsakura13) và Quảng Công của Viện nghiên cứu lỗ hổng 360 vào ngày 2022-04-27
- CVE-2022-3307: Sử dụng sau khi rảnh rỗi trong Media. Báo cáo của Tập đoàn Viễn thông Anonymous vào ngày 2022-05-08
Khoản thanh toán lớn nhất cho nhà nghiên cứu bên ngoài cho một lỗi góp phần vào lỗi mới nhất Cập nhật bảo mật Chrome 106, theo Sista, là 9,000 USD, thấp nhất là 1,000 USD. Nhiều khoản tiền thanh toán cho những người tìm lỗi Chrome khác được liệt kê là “$TBD”.
Như thường lệ, Google không liệt kê bất kỳ chi tiết kỹ thuật nào về lỗi.
Sista viết: “Chúng tôi cũng muốn cảm ơn tất cả các nhà nghiên cứu bảo mật đã làm việc với chúng tôi trong suốt chu kỳ phát triển để ngăn chặn các lỗi bảo mật tiếp cận kênh ổn định”. “Như thường lệ, công việc bảo mật nội bộ đang diễn ra của chúng tôi chịu trách nhiệm cho một loạt các bản sửa lỗi.”
