Обновление Chrome 79.0.3945.130 с устранением критической уязвимости

Доступно обновление браузера Chrome 79.0.3945.130 в котором устранены четыре уязвимости, одной из которых присвоен статус критической проблемы, позволяющей обойти все уровни защиты браузера и выполнить код в системе, за пределами sandbox-окружения. Детали о критической уязвимости (CVE-2020-6378) пока не раскрываются, известно только, что она вызвана обращением к уже освобождённому блоку памяти в компоненте для распознавания речи.

Остальные три уязвимости помечены как опасные. Уязвимость CVE-2020-6379 также связана с обращением к уже освобождённому блоку памяти (Use-after-free) в коде распознавания речи. Проблема CVE-2020-6380 вызвана ошибкой верификации сообщений от дополнений. Ещё одно изменение связано с добавлением защиты от уязвимости CVE-2020-0601 в Crypto API платформы Windows, допускающей создание поддельных TLS-сертификатов и фиктивных цифровых подписей (уже доступны прототипы кода для генерации фиктивных сертификатов, которые верифицируются в Windows как заслуживающие доверия).

Источник: opennet.ru