Google исправила уязвимости в браузере Chrome

Во вторник, 13 октября 2015 года, состоялся выход обновленной версии браузера Google Chrome 46.0.2490.71. В нем разработчики исправили как минимум 9 уязвимостей. Пять брешей позволяли удаленному пользователю скомпрометировать систему.

Уязвимости CVE-2015-6755 и CVE-2015-6756 существовали из-за ошибки использования после высвобождения в компонентах PDFium и Service Worker. Проэксплуатировав их, удаленный пользователь мог выполнить произвольный код на целевой системе. В компоненте PDFium также была обнаружена неразглашенная ошибка (CVE-2015-6758), позволявшая раскрыть важные данные.

Две из девяти обнаруженных уязвимостей позволяли обойти ограничения политики общего происхождения (CVE-2015-6761) и совместного использования ресурсов между разными источниками (CVE-2015-6762). Отметим, что для эксплуатации второй бреши злоумышленнику требовались специально сформированные шрифты CSS.

Разработчики Chrome также исправили множественные неуточненные ошибки в браузере, которые позволяли злоумышленнику выполнить неаутентифицированные действия на целевой системе. Этим исправлениям был присвоен единый идентификатор CVE-2015-6763.