Компания Google выпустила (http://googlechromereleases.blogspot.com/2011/01/chrome-stab...) релиз браузера Chrome 8.0.552.237 (http://www.google.com/chrome) в котором устранено 16 уязвимостей (http://sites.google.com/a/chromium.org/dev/Home/chromium-sec...) из которых тринадцать отнесены к категории опасных, а одна к категории критических. Примечательно, что в рамках программы (http://www.opennet.me/opennews/art.shtml?num=25217) по выплате денежного вознаграждения за обнаружение уязвимостей для представленной версии в сумме выплачено 14500 долларов.

Кроме того, в данном релизе впервые исправлена уязвимость критического характера, за которую компания выплатила максимально возможный (http://www.opennet.me/opennews/art.shtml?num=27375) размер награды - $3133.7. Критический статус уязвимости подразумевает возможность полного обхода всех уровней защиты браузера, что может привести к выполнению кода в системе. Подробности с детальным описанием уязвимостей доступны (http://b...

URL: http://googlechromereleases.blogspot.com/2011/01/chrome-stab...
Новость: http://www.opennet.me/opennews/art.shtml?num=29262

• Обновление браузера Chrome 8 с устранением 16 уязвимостей,Иван Иванович Иванов, 18:59 , 13-Янв-11
  • Обновление браузера Chrome 8 с устранением 16 уязвимостей,Аноним, 19:04 , 13-Янв-11
  • Обновление браузера Chrome 8 с устранением 16 уязвимостей,vitzai, 19:13 , 13-Янв-11
• Обновление браузера Chrome 8 с устранением 16 уязвимостей,as, 19:11 , 13-Янв-11
• Обновление браузера Chrome 8 с устранением 16 уязвимостей,paulus, 19:40 , 13-Янв-11
  • Обновление браузера Chrome 8 с устранением 16 уязвимостей,Аноним, 20:01 , 13-Янв-11
    • Обновление браузера Chrome 8 с устранением 16 уязвимостей,paulus, 20:12 , 13-Янв-11
      • Обновление браузера Chrome 8 с устранением 16 уязвимостей,linux0Ed, 21:38 , 13-Янв-11
        • Обновление браузера Chrome 8 с устранением 16 уязвимостей,ComradeDOS, 21:51 , 13-Янв-11
          • Обновление браузера Chrome 8 с устранением 16 уязвимостей,User294, 22:09 , 13-Янв-11
            • Обновление браузера Chrome 8 с устранением 16 уязвимостей,deadless, 23:30 , 13-Янв-11
              • Обновление браузера Chrome 8 с устранением 16 уязвимостей,moralez, 05:58 , 14-Янв-11
                • Обновление браузера Chrome 8 с устранением 16 уязвимостей,ComradeDOS, 19:12 , 14-Янв-11
                  • Обновление браузера Chrome 8 с устранением 16 уязвимостей,User294, 20:00 , 14-Янв-11
              • Обновление браузера Chrome 8 с устранением 16 уязвимостей,ComradeDOS, 19:22 , 14-Янв-11
            • Обновление браузера Chrome 8 с устранением 16 уязвимостей,ComradeDOS, 19:20 , 14-Янв-11
• Обновление браузера Chrome 8 с устранением 16 уязвимостей,Sylvia, 20:59 , 13-Янв-11
• Обновление браузера Chrome 8 с устранением 16 уязвимостей,ы, 00:35 , 14-Янв-11
  • Обновление браузера Chrome 8 с устранением 16 уязвимостей,Serge, 08:02 , 14-Янв-11
• Обновление браузера Chrome 8 с устранением 16 уязвимостей,kan, 08:44 , 14-Янв-11
• Обновление браузера Chrome 8 с устранением 16 уязвимостей,Keha, 09:04 , 14-Янв-11
• Обновление браузера Chrome 8 с устранением 16 уязвимостей,SHa, 00:12 , 16-Фев-11

Who is Сергей Глазунов?

Перерыл пол Интернета - не нашёл про него ничего.

Есть человек с таким же именем на http://www.rsdn.ru/Forum/?uid=18963, но по сообщениям он не катит на исследователя безопасности.

> Who is Сергей Глазунов?
> Перерыл пол Интернета - не нашёл про него ничего.
> Есть человек с таким же именем на http://www.rsdn.ru/Forum/?uid=18963, но по сообщениям
> он не катит на исследователя безопасности.

http://opennet.ru/~%D0%A1%D0%B5%D1&... ?

> Who is Сергей Глазунов?
> Перерыл пол Интернета - не нашёл про него ничего.

Значит хороший специалист :)

на жизнь зарабатывает ? )
или тестирует свою мега прогу по автопоиску неисправностей ?

Любопытненько, эти заплатки сразу накладываются на хромиум или держат их только на гугло хром? Хотя, если подробности известны зарегистрированным разработчикам проекта Chromium, то есть надежда, что в 10 тоже исправят...

Само собой, все сначала идет в мейнстрим, а потом уже бэкпортируется на старые версии, которые становятся релизами гуглохрома.

ну это чудненько, но что же они туда добавляют, чтобы это требовало закрытости проекта гугло хрома, а пне просто клепание хромиума? встроенный флеш/пдф/зонд и все? почему бы людям на хромиум не сидеть? ну да ладно, все это риторика...

Как говорится, если хочешь безопасный хром - ставь фаерфокс.

Не порите чепухи...

> Не порите чепухи...

А что, в хроме есть столь же продвинутые штуки как NoScript? Который не только давит уязвимости в движке JS, Flash, Java, etc просто не давая им выполняться откуда попало, но и вполне может отловить и зарубить XSS и прочие атаки, которые хотя и не выполняют код но вполне могут огорчить вас например спертым логином.

В хроме есть один только плюс - скорость. Все остальное это пока что еще компромиссы. Да и встречается еще некоторый процент сайтов на которых хром сливает.

у меня в опере много лет был JS выключен вообще. если сайт не работает без JS, я решаю включить JS или пойти нафиг. 50 на 50. в хроме сейчас так же. думаю, что это вполне безопасно :D

> у меня в опере много лет был JS выключен вообще. если сайт
> не работает без JS, я решаю включить JS или пойти нафиг.
> 50 на 50. в хроме сейчас так же. думаю, что это
> вполне безопасно :D

Действительно, ничего не мешает держать отключенным JS и включать его только там, где он нужен.

> Действительно, ничего не мешает держать отключенным JS и включать его только там,
> где он нужен.

NoScript именно это и делает. Заодно давя также флеш, яву и прочие интерактивности, вплоть до возможности указать MIME type файлов которые тоже следует огораживать по дефолту. Просто он это делает удобно и гранулярно. А как бонус - пытается зарубить XSS, попытки обманного перехвата кликов, давит <a ping>, 1-пиксельные пакости и прочая. В общем этакий файрвол для веба. С ним как-то сильно комфортнее, т.к. гребаная интерактивность иногда может сильно доканать выкидывая рекламу в попапах или там что еще. А так - интерактивничает только тот кому оно реально надо, после моего явного аппрува этой активности :)

> В хроме есть один только плюс - скорость. Все остальное это пока
> что еще компромиссы. Да и встречается еще некоторый процент сайтов на
> которых хром сливает.

Например?

>> Не порите чепухи...
> А что, в хроме есть столь же продвинутые штуки как NoScript?

Начнем с того, что NoScript для Хрома есть.

> Который не только давит уязвимости в движке JS, Flash, Java, etc просто
> не давая им выполняться откуда попало, но и вполне может отловить
> и зарубить XSS и прочие атаки, которые хотя и не выполняют
> код но вполне могут огорчить вас например спертым логином.

Нормальный браузер не даст выполнятся выполнятся js-коду, flash'у и java-апплетам "откуда попало".

а в 9 какой статус закрытия дыр?

Installed versions:  9.0.597.45

>Сергей Глазунов, который получил за свой труд в сумме 7470 долларов.
>За всю историю действия программы выплаты вознаграждений Сергей
>получил 16 премий

гуглу дешевле было бы нанять этого Сергея к себе в штат.

> гуглу дешевле было бы нанять этого Сергея к себе в штат.

все эти выплаты меньше одной-единственной месячной зарплаты не сильно квалифицированного инженера в Mountain View (Google's HQ)

я тоже нашел ошибку! в "о браузере гугаль хром" сейчас написано: Google 2006-2010.
:)

А за взлом машины гугла Глазунову наверное больше бы заплатили раз в дцать больше...

хром загружает обновления, просит перезапустить чтобы обновится, перезапускаю - версия та же, не обновляется. В чём причина?