Chrome 85 a été publié dans la version stable avec 20 correctifs de sécurité à l’intérieur, y compris des correctifs pour 14 vulnérabilités révélées par des chercheurs externes.

Aucun des défauts signalés en externe n’a été noté critique gravité, mais deux d’entre eux présentent haute cotes de risque.

Le premier d’entre eux, CVE-2020-6558, une application de politique insuffisante dans iOS, a été signalé par Alison Huffman de Microsoft Browser Vulnerability Research. Le deuxième, CVE-2020-6559, une utilisation après libre dans l’API de présentation, a été rapporté par Liu Wei et Wu Zekai de Tencent Security Xuanwu Lab.

Google affirme qu’aucune prime de bogue ne serait payée pour la première vulnérabilité et qu’il n’a pas encore décidé du montant de la seconde.

Sept moyen Les bogues de gravité signalés par des chercheurs externes ont été corrigés dans cette version de Chrome, notamment une implémentation inappropriée dans le contenu, quatre applications de stratégie insuffisantes (dans le remplissage automatique, le clignotement, la gestion des intentions et le support) et deux problèmes d’interface utilisateur de sécurité incorrects (dans les autorisations et l’Omnibox).

Les cinq faible les failles de risque signalées en externe incluent une validation insuffisante des entrées non approuvées dans la gestion de la ligne de commande, une application insuffisante des politiques dans la gestion des intentions, un dépassement d’entier dans WebUSB, une fuite d’informations sur les canaux secondaires dans WebRTC et une interface utilisateur de sécurité incorrecte dans Omnibox.

Le géant de l’Internet a versé plus de 10 000 $ en primes de bogues aux chercheurs qui ont fait des rapports. La récompense la plus élevée (5000 $) est allée à Nadja Ungethuem de unnex.de, pour avoir signalé CVE-2020-6560 (application insuffisante de la politique dans le remplissage automatique).

Bien que Google ne le mentionne pas, plus tôt cette semaine, Cisco a publié des informations sur une autre faille de gravité élevée qui a été corrigée dans Chrome 85, à savoir CVE-2020-6492 (score CVSS de 8,3).

Le problème, décrit comme une lecture après utilisation libre, existe lorsqu’un composant WebGL ne parvient pas à gérer correctement les objets en mémoire, explique Cisco. Un attaquant capable d’exploiter avec succès le …