شرکت گوگل این هفته بهروزرسانی را برای کروم منتشر کرده و نسخهی پایدار کروم ۷۸ را ارائه کرده است. در کروم ۷۸ بهبودهای زیادی حاصل شده و در مجموع ۳۷ آسیبپذیری وصله شده است. این آسیبپذیریها توسط محققان خود شرکت و محققان خارجی شناسایی و گزارش شدهاند. یکی از بهبودهای مهم و اساسی که در کروه ۷۸ شاهد هستیم معرفی ویژگی DNS بر روی HTTPS ( ویژگی DNS-over-HTTPS (DoH)) است. ارائهی این ویژگی در قالب آزمایشی است که بررسی میکند آیا پیادهسازی این فناوری در مرورگر قابل انجام است یا خیر. تمامی بسترهایی که گوگل پشتیبانی میکند بهجز لینوکس و iOS این ویژگی را دریافت خواهند کرد.
در نسخهی جدید از کروم قرار است به کاربران در صورتی که گذرواژههای آنها در نقض دادهها مشاهده شده باشد، هشدار داده شود. این هشدار قرار است توسط گزینهای که مدیریت گذرواژه را در این مرورگر برعهده دارد و Check password safety نام دارد، انجام شود. گفتنی است این ویژگی در مرحلهی آزمایش قرار دارد. همچنین لازم است کاربر وارد حساب کاربری خود شده باشد و حساب کاربری توسط گوگل synced شده باشد.
از ۲۱ آسیبپذیری که توسط محققان خارج از شرکت گوگل گزارش شده، ۳ مورد با شدت بالا، ۱۲ مورد متوسط و ۶ آسیبپذیری با درجهی اهمیت کم ارزیابی شدهاند. از جمله آسیبپذیریهای مهم به اشکال استفاده پس از آزادسازی در مولفهی مدیا و آسیبپذیری buffer overrun در Blink میتوان اشاره کرد. به این آسیبپذیریها شناسههای CVE-2019-13699 و CVE-2019-13700 اختصاص یافته و گوگل برای گزارش آنها ۲۰ و ۱۵ هزار دلار پاداش پرداخت کرده است. آسیبپذیری سوم دارای شناسهی CVE-2019-13701 است و یک اشکال جعل URL محسوب میشود که برای گزارش آن هزار دلار پاداش پرداخت شده است.
از جمله آسیبپذیریهای مهم که در کروم ۷۸ وصله شده میتوان به آسیبپذیری ارتقاء امتیاز در Installer با شناسهی CVE-2019-13702، آسیبپذیری جعل نوار URL با شناسهی CVE-2019-13703، آسیبپذیری دور زدن CSP با شناسهی CVE-2019-13704، آسیبپذیری دور زدن مجوزهای افزونهها با شناسهی CVE-2019-13705 و آسیبپذیری خواندن خارج از محدوده در PDFium با شناسهی CVE-2019-13706 اشاره کرد.
آسیبپذیریها متوسط که در کروم ۷۸ وصله شدهاند عبارتند از: آسیبپذیری افشای فایلهای ذخیرهشده با شناسهی CVE-2019-13707، آسیبپذیری جعل احراز هویت HTTP با شناسهی CVE-2019-13708، آسیبپذیری دور زدن حفاظت دانلود فایلها با شناسههای CVE-2019-13709 و CVE-2019-13710، آسیبپذیری نشت اطلاعات cross-context با شناسهی CVE-2019-13711، آسیبپذیری سرریز بافر در expat با شناسهی CVE-2019-15903 و نشت دادهی cross-origin با شناسهی CVE-2019-13713. از آسیبپذیریهای با اهمیت کم که در کروم ۷۸ وصله شده میتوان به اشکالات تزریق CSS با شناسهی CVE-2019-13714، جعل نوار آدرس با شناسهی CVE-2019-13715، خطای وضعیت service worker با شناسهی CVE-2019-13716 و جعل IDN با شناسهی CVE-2019-13718 اشاره کرد. نسخهی کروم ۷۸٫۰٫۳۹۰۴٫۷۰ در حال حاضر برای بسترهای ویندوز، مک و لینوکس قابل دانلود است.
آسیبپذیریها متوسط که در کروم ۷۸ وصله شدهاند عبارتند از: آسیبپذیری افشای فایلهای ذخیرهشده با شناسهی CVE-2019-13707، آسیبپذیری جعل احراز هویت HTTP با شناسهی CVE-2019-13708، آسیبپذیری دور زدن حفاظت دانلود فایلها با شناسههای CVE-2019-13709 و CVE-2019-13710، آسیبپذیری نشت اطلاعات cross-context با شناسهی CVE-2019-13711، آسیبپذیری سرریز بافر در expat با شناسهی CVE-2019-15903 و نشت دادهی cross-origin با شناسهی CVE-2019-13713. از آسیبپذیریهای با اهمیت کم که در کروم ۷۸ وصله شده میتوان به اشکالات تزریق CSS با شناسهی CVE-2019-13714، جعل نوار آدرس با شناسهی CVE-2019-13715، خطای وضعیت service worker با شناسهی CVE-2019-13716 و جعل IDN با شناسهی CVE-2019-13718 اشاره کرد. نسخهی کروم ۷۸٫۰٫۳۹۰۴٫۷۰ در حال حاضر برای بسترهای ویندوز، مک و لینوکس قابل دانلود است.
