tonny_thuong
07-01-2011, 07:39
Google vá 7 lỗi nguy hiểm trong Chrome
Thứ 3 vừa qua, Google đă tung ra bản cập nhật bảo mật thứ hai trong tháng này dành cho tŕnh duyệt Chrome.
Có 7 lỗ hổng bảo mật được cập nhật với bản vá Chrome 12.0.742.112, trong đó chỉ có một lỗ hổng được đánh giá ở mức cao, mức nguy hiểm thứ 2 trong thang điểm 4 của Google. Các thành phần được vá lỗi bao gồm “động cơ” V8 JavaScript, CSS và phân tích cú pháp HTML. Trước bản cập nhật này, lần cuối Google Chrome được cập nhật là thứ Ba tuần trước (8/6/2011), vá 15 lỗi.
http://www.quantrimang.com. vn/photos/image/072011/01/chrome-actualizacion.jpg
3 trong số 7 lỗ hổng được xác định là lỗi "use-after-free", một lỗ hổng nằm trong khâu quản lư bộ nhớ. Lỗi này có thể bị kẻ xấu khai thác để đưa các mă độc phục vụ cho mục đích tấn công sau này.
Google luôn giữ kín cơ sở dữ liệu theo dơi các lỗi của tŕnh duyệt Chrome, đề pḥng việc thảo luận của các kỹ sư bảo mật bị tiết lộ ra ngoài. Công ty cũng không cho phép công bố cơ sở dữ liệu này trước khi có bản cập nhật vá lỗi cho người dùng. Thời gian chờ có khi lên tới vài tháng. Trong trường hợp bản cập nhật trước, chỉ có 2 trong số 15 lỗi là được công bố ra ngoài.
Google đă thưởng 6.000 USD (~ 120 triệu VNĐ) cho ba nhà nghiên cứu phát hiện 7 lỗ hổng bảo mật lần này, trong đó 4.500 USD (~ 90 triệu VNĐ) được trao cho một nhà nghiên cứu có bí danh "miaubiz", người phát hiện ra 5 trong số 7 lỗ hổng trên.
Sergey Glazunov người phát hiện ra nhiều lỗ hổng an ninh nhất cho tŕnh duyệt Chrome từ trước đến nay lại không có mặt lần này. Glazunov là nhà nghiên cứu duy nhất đă được nhận giải thưởng hàng đầu của Google trị giá 3.133 USD (~63 triệu VNĐ) tới hai lần.
Hiện chỉ có Google và Mozilla là treo thưởng bằng tiền mặt cho các nhà nghiên cứu bảo mật độc lập khi họ phát hiện lỗi tŕnh duyệt của họ. Cả hai công ty tuy đă có tranh căi về việc này, song đều thừa nhận rằng việc có nhiều người tham gia phát hiện lỗi đă góp phần cải thiện an ninh các ứng dụng của họ một cách đáng kể.
Kỹ sư bảo mật của Google, Chris Evans nêu quan điểm trên một bài viết đăng trên blog của ḿnh tháng trước: "Nếu bạn có tổ chức chương tŕnh t́m lỗi trúng thưởng, chắc chắn bạn sẽ nhận được sự tham gia của cộng đồng các nhà nghiên cứu. Vấn đề tiền bạc và danh dự luôn được nêu ra khi một chương tŕnh tương tự như thế này được tổ chức, nhưng sự thực là bạn sẽ nhận được nhiều thông báo hơn khi có cuộc thi. Và một khi thói quen t́m kiếm và sửa chữa lỗi bảo mật trở thành văn hóa trong cộng đồng những nhà nghiên cứu, người dùng của bạn sẽ được an toàn hơn nhiều".
Cho tới nay, Google đă chi ra hơn 94.000 USD (~1,9 tỷ VNĐ) cho việc t́m ra và sửa lỗi bảo mật tŕnh duyệt.
Tŕnh duyệt Chrome đă được phát hành tới phiên bản 12 vào đầu tháng này, do vậy bản cập nhật hôm thứ 3 vừa qua không mang lại thêm tính năng ǵ mới ngoài việc vá lỗi. Nhưng phiên bản 13 (beta), ra mắt trong khoảng thời gian từ giữa đến cuối tháng 7 tới, được hy vọng sẽ ổn định hơn.
Google đă biến Chrome thành tŕnh duyệt có tốc độ cập nhật phiên bản nhanh nhất hiện nay, thông thường thời gian giữa 2 phiên bản chỉ từ 6-8 tuần. Mới đây Mozilla cũng đă bước vào cuộc đua tốc độ này khi vừa tung ra phiên bản mới của Firefox chỉ sau 6 tuần so với phiên bản trước đó.
Theo công ty đo lường web Net Applications, vào tháng trước, tŕnh duyệt Chrome chiếm 12,5% thị phần tŕnh duyệt toàn cầu.
Các bản cập nhật của Chrome sẽ được Google cập nhật tự động như một dịch vụ chạy nền.
Theo PC World VN
Thứ 3 vừa qua, Google đă tung ra bản cập nhật bảo mật thứ hai trong tháng này dành cho tŕnh duyệt Chrome.
Có 7 lỗ hổng bảo mật được cập nhật với bản vá Chrome 12.0.742.112, trong đó chỉ có một lỗ hổng được đánh giá ở mức cao, mức nguy hiểm thứ 2 trong thang điểm 4 của Google. Các thành phần được vá lỗi bao gồm “động cơ” V8 JavaScript, CSS và phân tích cú pháp HTML. Trước bản cập nhật này, lần cuối Google Chrome được cập nhật là thứ Ba tuần trước (8/6/2011), vá 15 lỗi.
http://www.quantrimang.com. vn/photos/image/072011/01/chrome-actualizacion.jpg
3 trong số 7 lỗ hổng được xác định là lỗi "use-after-free", một lỗ hổng nằm trong khâu quản lư bộ nhớ. Lỗi này có thể bị kẻ xấu khai thác để đưa các mă độc phục vụ cho mục đích tấn công sau này.
Google luôn giữ kín cơ sở dữ liệu theo dơi các lỗi của tŕnh duyệt Chrome, đề pḥng việc thảo luận của các kỹ sư bảo mật bị tiết lộ ra ngoài. Công ty cũng không cho phép công bố cơ sở dữ liệu này trước khi có bản cập nhật vá lỗi cho người dùng. Thời gian chờ có khi lên tới vài tháng. Trong trường hợp bản cập nhật trước, chỉ có 2 trong số 15 lỗi là được công bố ra ngoài.
Google đă thưởng 6.000 USD (~ 120 triệu VNĐ) cho ba nhà nghiên cứu phát hiện 7 lỗ hổng bảo mật lần này, trong đó 4.500 USD (~ 90 triệu VNĐ) được trao cho một nhà nghiên cứu có bí danh "miaubiz", người phát hiện ra 5 trong số 7 lỗ hổng trên.
Sergey Glazunov người phát hiện ra nhiều lỗ hổng an ninh nhất cho tŕnh duyệt Chrome từ trước đến nay lại không có mặt lần này. Glazunov là nhà nghiên cứu duy nhất đă được nhận giải thưởng hàng đầu của Google trị giá 3.133 USD (~63 triệu VNĐ) tới hai lần.
Hiện chỉ có Google và Mozilla là treo thưởng bằng tiền mặt cho các nhà nghiên cứu bảo mật độc lập khi họ phát hiện lỗi tŕnh duyệt của họ. Cả hai công ty tuy đă có tranh căi về việc này, song đều thừa nhận rằng việc có nhiều người tham gia phát hiện lỗi đă góp phần cải thiện an ninh các ứng dụng của họ một cách đáng kể.
Kỹ sư bảo mật của Google, Chris Evans nêu quan điểm trên một bài viết đăng trên blog của ḿnh tháng trước: "Nếu bạn có tổ chức chương tŕnh t́m lỗi trúng thưởng, chắc chắn bạn sẽ nhận được sự tham gia của cộng đồng các nhà nghiên cứu. Vấn đề tiền bạc và danh dự luôn được nêu ra khi một chương tŕnh tương tự như thế này được tổ chức, nhưng sự thực là bạn sẽ nhận được nhiều thông báo hơn khi có cuộc thi. Và một khi thói quen t́m kiếm và sửa chữa lỗi bảo mật trở thành văn hóa trong cộng đồng những nhà nghiên cứu, người dùng của bạn sẽ được an toàn hơn nhiều".
Cho tới nay, Google đă chi ra hơn 94.000 USD (~1,9 tỷ VNĐ) cho việc t́m ra và sửa lỗi bảo mật tŕnh duyệt.
Tŕnh duyệt Chrome đă được phát hành tới phiên bản 12 vào đầu tháng này, do vậy bản cập nhật hôm thứ 3 vừa qua không mang lại thêm tính năng ǵ mới ngoài việc vá lỗi. Nhưng phiên bản 13 (beta), ra mắt trong khoảng thời gian từ giữa đến cuối tháng 7 tới, được hy vọng sẽ ổn định hơn.
Google đă biến Chrome thành tŕnh duyệt có tốc độ cập nhật phiên bản nhanh nhất hiện nay, thông thường thời gian giữa 2 phiên bản chỉ từ 6-8 tuần. Mới đây Mozilla cũng đă bước vào cuộc đua tốc độ này khi vừa tung ra phiên bản mới của Firefox chỉ sau 6 tuần so với phiên bản trước đó.
Theo công ty đo lường web Net Applications, vào tháng trước, tŕnh duyệt Chrome chiếm 12,5% thị phần tŕnh duyệt toàn cầu.
Các bản cập nhật của Chrome sẽ được Google cập nhật tự động như một dịch vụ chạy nền.
Theo PC World VN