据国外媒体报道,在Pwn2Own浏览器黑客大赛召开前夕,谷歌公司针对基于Windows操作系统下的Chrome浏览器发布了11项安全性补丁。谷歌公司发现基于 Windows操作系统下的Chrome浏览器存在六项安全漏洞,其中属于危险性高的安全漏洞有1项,属于危险性中等的安全漏洞有3项,属于危险性低的安 全漏洞有2项。
谷歌公司对发现这六项安全漏洞的软件人员给予了奖金鼓励。其中发现Chrome浏览器开源浏览引擎WebKit安全漏洞的软件工程师谢尔盖·格拉祖诺夫(Sergey Glazunov)获得了1337美元的现金奖励。发现其他五项安全漏洞的软件工程师获得了500美元的现金奖励。
Chrome浏览器研发小组主管奥利特·马佐尔(Orit Mazor)声称:“目前这六项安全漏洞的细节信息处于保密状态,直到广大Chrome浏览器用户下载新补丁并对六项安全漏洞进行修复后,谷歌公司才会公布这六项安全漏洞的细节信息。”
51CTO王文文:比赛还没开打,上届冠军Chrome和上届最差Safari都迅速做起了准备工作,后者已经连发16个补丁,并期望摆脱2009和2008年比赛垫底的状况。而Firefox火狐官方却表示,虽然目前的3.6版本被发现0day,但修复漏洞后的3.6.2正式版本得在2010年3月30日才能发布(到时候比赛都打完了)。那同样已经修复漏洞后的3.6.2非正式版,能否在Pwn2Own2010比赛前临危授命,充当一回救火队员呢?请继续关注51CTO安全频道。
相关报道:
过去几天,Google几乎更新了现行所有版本的Chrome浏览器,但大都是小幅更新,仅Chrome稳定版进行了高优先的安全补丁。
Chrome Windows稳定版执行了5项列为高等级的安全补丁,包括由 Sergey Glazunov发现的一项错误。他已获得第一笔Chromium Security Reward(安全奖金)1,337美元。
这次安全更新补丁的内容,包括分页沙盒漏洞、变形SVG影像造成的内存错误、WebKit JavaScript物件的整数溢位,和一个跨源绕道错误。另一项针对Chrome beta的安全更新,修补了SVG空参数之内存错误所造成的漏洞。
稳定版升级至v4后加入的一项新功能已被删除。实验性的anti-reflected-XSS功能XSS Auditor,因少见但“严重的性能问题”而被取消。
Chrome Windows beta版现在包含翻译信息列,可利用Google的翻译功能自动翻译非系统预设语言的网页。
Chrome dev channel(开发者预览版)已分别为Windows、Mac和Linux进行更新。Google表示,三种平台的使用者都会看到autofill功能的显着改善。Mac OS X开发者预览版的使用者,也会收到书签列的许多更新,但书签档案夹目前仍有明显的问题。
Google的IE booster附加程序Chrome Frame,也进行了若干修补。Chrome Frame现在使用IE预设的自动弹出视窗阻挡器,而同时用鼠标左右键按入一个链接,不会再让浏览器当机。请注意Chrome Frame仍属实验性质,不建议随便使用。
【编辑推荐】
