Первая награда за ошибку в Google Chrome нашла своего героя

Компания Google обновила браузер Chrome, исправив мелкие ошибки практически во всех версиях приложения для всех платформ, однако стабильная версия программы содержала серьезные уязвимости, подвергавшие опасности всю систему.

В Windows-версии Chrome содержалось пять уязвимостей безопасности, одну из которых обнаружил Сергей Глазунов, получивший за свою находку в рамках программы Chromium Security Reward награду в 1337 долларов. Текущее обновление стоило Google еще 2 тысяч долларов, выплаченных другим исследователям.

Уязвимости представляли собой ошибки в реализации изолированной среды для вкладок, ошибки памяти, возникающие при обработке неправильно сформированных изображений SVG, целочисленное переполнение при обработке объектов WebKit JavaScript и ошибку, позволяющую обойти правила политики безопасности. Один из патчей для бета-версии Chrome предназначен для исправления важной уязвимости, вызванной ошибкой памяти при обработке элементов SVG.

В последней версии браузера исчезла одна из новых возможностей. Экспериментальная функция XSS Auditor в редких случаях приводила к существенному снижению производительности, в связи с чем было принято решение отключить ее. В состав бета-версии Chrome для Windows вошла информационная панель для автоматического перевода веб-страниц с помощью Переводчика Google, которая включается при посещении страницы, чей язык отличается от установленного в системе по умолчанию.

Для всех трех поддерживаемых платформ – Windows, Mac OS X и Linux – были обновлены версии Chrome для разработчиков. Их пользователи отметят значительное повышение производительности функции автозаполнения. В версии для Mac OS X исправлены многочисленные ошибки в панели закладок, однако остались столь же многочисленные проблемы с каталогами закладок, исправления для которых, по словам представителей компании, находятся в разработке.

Несколько патчей выпущено и для дополнения к Internet Explorer – Chrome Frame. Теперь он использует расширение для блокировки всплывающих окон, которым браузер оснащен по умолчанию, а нажатие на ссылку двумя кнопками мыши одновременно больше не приводит к аварийному завершению работы приложения. Несмотря на эти усовершенствования, модуль Chrome Frame все еще находится в статусе экспериментального и не рекомендуется для повседневного использования.