Chrome 111 修补了40 个漏洞

谷歌本周宣布将 Chrome 111 发布到稳定频道，其中包含 40 个漏洞的补丁。

外部研究人员报告了总共 24 个已解决的安全缺陷。其中包括 8 个高严重性缺陷、11 个中等严重性错误和 5 个低严重性问题。

外部研究人员报告的三个高危漏洞是影响 Swiftshader、DevTools 和 WebRTC 的 use-after-free 漏洞，Google 分别为此提供了 15,000 美元、4,000 美元和 3,000 美元的赏金。

这家互联网巨头的公告还提到了 V8 和 CSS 中的两种类型的混淆缺陷，分别奖励 10,000 美元和 7,000 美元；崩溃报告中的堆栈缓冲区溢出问题，为此支付了 3,000 美元的奖励；以及 Metrics 和 UMA 中的两个堆缓冲区溢出错误，奖励尚未确定。

外部报告的六个中等严重缺陷是影响浏览器组件（例如扩展 API、自动填充、Web 支付 API、导航和意图）的策略执行不足的错误。

此外，Chrome 111 还解决了权限提示、WebApp 安装和自动填充中的中等严重性不当实施问题、Web Audio API 中的堆缓冲区溢出错误以及 Core 中的释放后使用漏洞。

此次浏览器更新解决了外部报告的低严重性缺陷，包括 Resource Timing 中的两个策略执行不足问题、意图中的不适当实施缺陷、DevTools 中的类型混淆错误以及 Internals 中的不适当实施漏洞。

谷歌表示，它向报告研究人员支付了超过 90,000 美元的漏洞赏金奖励，但总额可能要高得多，因为该公司尚未确定为几份漏洞报告发放的金额。

这家互联网巨头没有提及在攻击中利用这些漏洞中的任何一个。

最新的 Chrome 迭代目前正在推出，适用于 Windows 的版本为 111.0.5563.64/.65，适用于 Linux 和 macOS 的版本为 111.0.5563.64。

原文始发于微信公众号（河南等级保护测评）：Chrome 111 修补了40 个漏洞