Google vá 7 lỗi nguy hiểm trong Chrome Thứ 3 vừa qua, Google đã tung ra bản cập nhật bảo mật thứ hai trong tháng này dành cho trình duyệt Chrome.. Google luôn giữ kín cơ sở dữ liệu theo
Trang 1Google vá 7 lỗi nguy hiểm trong Chrome
Thứ 3 vừa qua, Google đã tung ra bản cập nhật bảo mật thứ hai trong tháng này dành cho trình duyệt Chrome
Có 7 lỗ hổng bảo mật được cập nhật với bản
vá Chrome 12.0.742.112, trong đó chỉ có một lỗ hổng được đánh giá ở mức cao, mức nguy hiểm thứ 2 trong thang điểm 4 của
Google Các thành phần được vá lỗi bao gồm “động cơ” V8 JavaScript, CSS và phân tích cú pháp HTML
Trước bản cập nhật này, lần cuối Google Chrome được cập nhật là thứ Ba tuần trước (8/6/2011), vá 15 lỗi
3 trong số 7 lỗ hổng được xác định là lỗi "use-after-free", một lỗ hổng nằm trong khâu quản lý bộ nhớ
Trang 2Lỗi này có thể bị kẻ xấu khai thác để đưa các mã độc phục vụ cho mục đích tấn công sau này
Google luôn giữ kín cơ sở dữ liệu theo dõi các lỗi của trình duyệt Chrome, đề phòng việc thảo luận của các
kỹ sư bảo mật bị tiết lộ ra ngoài Công ty cũng không cho phép công bố cơ sở dữ liệu này trước khi có bản cập nhật vá lỗi cho người dùng Thời gian chờ có khi lên tới vài tháng Trong trường hợp bản cập nhật
trước, chỉ có 2 trong số 15 lỗi là được công bố ra
ngoài
Google đã thưởng 6.000 USD (~ 120 triệu VNĐ) cho
ba nhà nghiên cứu phát hiện 7 lỗ hổng bảo mật lần này, trong đó 4.500 USD (~ 90 triệu VNĐ) được trao
cho một nhà nghiên cứu có bí danh "miaubiz", người
phát hiện ra 5 trong số 7 lỗ hổng trên
Sergey Glazunov người phát hiện ra nhiều lỗ hổng an ninh nhất cho trình duyệt Chrome từ trước đến nay lại không có mặt lần này Glazunov là nhà nghiên
Trang 3cứu duy nhất đã được nhận giải thưởng hàng đầu của Google trị giá 3.133 USD (~63 triệu VNĐ) tới hai lần
Hiện chỉ có Google và Mozilla là treo thưởng bằng tiền mặt cho các nhà nghiên cứu bảo mật độc lập khi
họ phát hiện lỗi trình duyệt của họ Cả hai công ty tuy
đã có tranh cãi về việc này, song đều thừa nhận rằng việc có nhiều người tham gia phát hiện lỗi đã góp
phần cải thiện an ninh các ứng dụng của họ một cách đáng kể
Kỹ sư bảo mật của Google, Chris Evans nêu quan điểm trên một bài viết đăng trên blog của mình tháng
trước: "Nếu bạn có tổ chức chương trình tìm lỗi trúng thưởng, chắc chắn bạn sẽ nhận được sự tham gia của cộng đồng các nhà nghiên cứu Vấn đề tiền bạc và danh dự luôn được nêu ra khi một chương trình
tương tự như thế này được tổ chức, nhưng sự thực là bạn sẽ nhận được nhiều thông báo hơn khi có cuộc
Trang 4thi Và một khi thói quen tìm kiếm và sửa chữa lỗi bảo mật trở thành văn hóa trong cộng đồng những nhà nghiên cứu, người dùng của bạn sẽ được an toàn hơn nhiều"
Cho tới nay, Google đã chi ra hơn 94.000 USD (~1,9
tỷ VNĐ) cho việc tìm ra và sửa lỗi bảo mật trình
duyệt
Trình duyệt Chrome đã được phát hành tới phiên bản
12 vào đầu tháng này, do vậy bản cập nhật hôm thứ 3 vừa qua không mang lại thêm tính năng gì mới ngoài việc vá lỗi Nhưng phiên bản 13 (beta), ra mắt trong khoảng thời gian từ giữa đến cuối tháng 7 tới, được
hy vọng sẽ ổn định hơn
Google đã biến Chrome thành trình duyệt có tốc độ cập nhật phiên bản nhanh nhất hiện nay, thông
thường thời gian giữa 2 phiên bản chỉ từ 6-8 tuần Mới đây Mozilla cũng đã bước vào cuộc đua tốc độ này khi vừa tung ra phiên bản mới của Firefox chỉ
Trang 5sau 6 tuần so với phiên bản trước đó
Theo công ty đo lường web Net Applications, vào tháng trước, trình duyệt Chrome chiếm 12,5% thị phần trình duyệt toàn cầu
Các bản cập nhật của Chrome sẽ được Google cập nhật tự động như một dịch vụ chạy nền
Theo PC World VN