گوگل هفتهی گذشته کروم ۷۹ را با ۵۱ وصلهی امنیتی منتشر کرد که ۳۷ مورد از آسیبپذیریها توسط پژوهشگران خارجی گزارش شده بود و از بین آنها دو آسیبپذیری بحرانی بود. از بین سایر اشکالات گزارششده توسط پژوهشگران خارجی، ۸ مورد با شدت بالا، ۱۸ مورد با شدت متوسط و ۹ مورد با شدت پایین ارزیابی شدهاند.
یکی از این دو آسیبپذیری بحرانی CVE-2019-13725، یک آسیبپذیری استفاده پس از آزادسازی در مؤلفهی بلوتوث است که توسط Gengming Liu و Jianyu Chen از آزمایشگاه امنیتی Tencent Keen گزارش شد و دیگری CVE-2019-13726، یک آسیبپذیری سرریز بافر هیپ در مدیریت گذرواژه است که توسط Sergei Glazunov از پروژهی صفر گوگل گزارش شد.
گوگل اعلام کرد که برای آسیبپذیری استفاده پس از آزادسازی ۲۰ هزار دلار پاداش داده است، اما هنوز پاداش اشکال سرریز بافر هیپ را مشخص نکرده است.
آسیبپذیریهای با خطر بالا که در این نسخه رفع شدهاند، شامل اعمال سیاست نادرست در WebSockets، نوشتن خارج از محدوده در V8، استفاده پس از آزادسازی در WebSockets، type confusion در V8، استفاده پس از آزادسازی در WebAudio و نوشتن خارج از محدوده در SQLite است.
آسیبپذیریهای با شدت متوسط شامل یک سرریز عدد صحیح در PDFium، اعمال سیاست نادرست در تکمیل خودکار، پیمایش، Omnibox، کوکیها، صدا و ابزارهای توسعهدهنده، رابطهای امنیتی نامناسب در Omnibox، به اشتراکگذاری و مدیریت پروتکل خارجی، اعتبارسنجی نامناسب ورودی غیرقابل اطمینان در Blink، خواندن خارج از محدوده و اعتبارسنجی نامناسب داده در SQLite هستند.
آسیبپذیریهای با شدت پایین که در کروم ۷۹ وصله شدند شامل اعمال سیاست نادرست در افزونهها، پیمایش، دانلودها، پرداختها و رابطهای امنیتی نامناسب در چاپ و Omnibox هستند.
گوگل همچنین در مرورگر خود شامل یک هشدار در هنگام مواجهه با گذرواژههای استفادهشده، است. کروم به کاربران این گذرواژهها در هنگام تلاش برای ورود به وبگاهها هشدار میدهد. این امکان قبلاً از طریق یک افزونه در دسترس بود اما درحالحاضر در برنامه تعبیه شده است.
بهطور کلی، گوگل ۸۰ هزار دلار به پژوهشگران امنیتی پاداش داده است اما هنوز مبلغ پرداختشده برای ۱۰ مورد از این آسیبپذیریها ازجمله یک آسیبپذیری بحرانی و چهار مسأله با شدت بالا را افشا نکرده است. نسخهی جدید مرورگر کروم برای ویندوز، مک و لینوکس درحالحاضر آمادهی دانلود است.