گوگل، کروم ۷۷ را در کانال پایدار با وصلهها و بهبودهای مختلف ازجمله ۵۲ وصلهی امنیتی منتشر کرد. ۳۶ مورد از کل وصلههای امنیتی، برای آسیبپذیریهای گزارششده توسط پژوهشگران خارجی هستند. این آسیبپذیریها شامل یک اشکال بحرانی، ۸ مسأله با شدت بالا، ۱۷ آسیبپذیری با شدت متوسط و ۱۰ آسیبپذیری با شدت پایین هستند.
مهمترین وصلهها یک آسیبپذیری استفاده پس از آزادسازی را در مؤلفهی رسانه رفع میکنند. این آسیبپذیری که با شناسهی CVE-2019-5870 ردیابی میشود، توسط پژوهشگری از Qihoo 360 در ۲۹ آگوست گزارش شده بود. گوگل هنوز اطلاعاتی دربارهی پاداش پرداختشده برای کشف آن ارائه نداده است.
اولین مورد از اشکالهایی با شدت بالا که در کروم ۷۷ وصله شدند، یک اشکال سرریز هیپ در Sika (CVE-2019-5871) است که گوگل برای گزارش آن ۷٬۵۰۰ دلار پاداش داده است. گوگل همچنین یک آسیبپذیری استفاده پس از آزادسازی در Mojo (CVE-2019-5872)، اسپوفینگ نوار آدرس اینترنتی در iOS (CVE-2019-5873) و یک مسألهی مربوط به آدرسهای اینترنتی خارجی (CVE-2019-5874) را رفع کرد و ۳ هزار دلار به ازای هر کدام از آنها پاداش داد.
یک مسأله با شدت بالای دیگر نیز اسپوفینگ نوار آدرس از طریق تغییر مسیر دانلود (CVE-2019-5875) است که گوگل برای آن یک پاداش ۲ هزار دلاری پرداخت کرده است. این غول اینترنتی هنوز اطلاعاتی دربارهی پاداشهای پرداختشده برای سه آسیبپذیری با شدت بالای گزارششده توسط پژوهشگران خارجی ارائه نداده است. این آسیبپذیریها شامل یک آسیبپذیری استفاده پس از آزادسازی در رسانه (CVE-2019-5876)، دسترسی خارج از محدوده در V8 (CVE-2019-5877) و استفاده پس از آزادسازی در V8 (CVE-2019-5878) هستند.
اشکالهای با شدت متوسط شامل افزونههایی هستند که امکان دور زدن سیاست منبع یکسان، دور زدن کوکی SameSite، خواندن دلخواه SwiftShader، اسپوفینگ آدرس اینترنتی، اسپوفینگ هشدار تمام صفحه، دور زدن CSP، اسپوفینگ IDN و دور زدن CSRF را فراهم میکند.
سایر مسائل با خطر متوسط شامل مسألهی دور زدن راهکار محافظت بارگیری فایلهای چندگانه، یک کانال جانبی با استفاده از برآورد اندازه فضای ذخیرهسازی، اسپوفینگ نوار آدرس در زمان استفاده از آدرسهای اینترنتی برنامهی خارجی، افشای global window از طریق کنسول، اسپوفینگ احراز هویت HTTP، خرابی حافظهی V8 در regex، عدم نمایش منبع پنجرهی گفتگو و افشای اطلاعات بین منبعی هستند.
اشکالهای با شدت پایینی که در کروم ۷۷ رفع شدهاند شامل یک اسپوفینگ IDN، پسوندهای غیرفعالشده توسط اسلشهای دنبالهدار، آدرس اینترنتی نمایش داده شده برای هشدار گواهینامه، اسپوفینگ پنجره بارگیری، جعل آدرس آیپی برای سرورها، دور زدن محدودیتهای بارگیری، دور زدن ایزولهسازی وبگاه هستند.
تاکنون گوگل در مجموع بیش از ۳۳ هزار دلار به پژوهشگرانی که اشکالهای رفعشده در کروم ۷۷ را گزارش دادند، پاداش داده است. بااینحال، هنوز اطلاعاتی دربارهی پاداشهای پرداختشده برای ۱۰ آسیبپذیری ارائه نداده است. آخرین نسخهی کروم برای ویندوز، مک و لینوکس با نسخهی ۷۷٫۰٫۳۸۶۵٫۷۵ آماده دانلود است.