谷歌报告漏洞的研究人员支付了 72,000 美元的赏金

谷歌已在稳定渠道发布 Chrome 130，以解决 17 个漏洞，其中包括外部研究人员报告的 13 个漏洞。

谷歌周二宣布推出全新的 Chrome 浏览器更新，修复了 17 个漏洞，其中包括外部研究人员报告的 13 个安全缺陷。

外部报告的最严重的漏洞是 CVE-2024-9954，这是人工智能中的一个高风险的释放后使用缺陷，谷歌为此发放了 36,000 美元的漏洞赏金。

浏览器更新还解决了五个中等严重程度的释放后使用问题，影响了 Web 身份验证、UI、DevTools、Dawn 和包裹跟踪。

Web 身份验证、PictureInPicture 和权限中的中等严重程度不当实施缺陷以及下载中的数据验证不足问题也已得到解决。

该互联网巨头在其公告中指出，大多数漏洞都是在过去几个月内报告的，除了 2023 年 11 月报告的 PictureInPicture 漏洞中的不适当实施，以及 2024 年 3 月报告的下载中数据验证不足。

此次更新还修复了支付和导航中低严重程度的不当实施缺陷以及 DevTools 中数据验证不足的错误。

谷歌表示，已向报告漏洞的研究人员支付了 72,000 美元的赏金。不过，该公司尚未确定针对下载中数据验证不足问题支付的赏金金额。

该互联网巨头并未提及这些漏洞是否已被利用。建议用户尽快更新其浏览器。

最新版本的 Chrome 版本现已推出，适用于 Windows 和 macOS 的版本为 130.0.6723.58/.59，适用于 Linux 的版本为 130.0.6723.58。

Google 还向一小部分用户推出了 Android 版 Chrome 130.0.6723.58 版本。更新后的移动浏览器包含与桌面版 Chrome 130 相同的修复程序，并将很快在 Google Play 上提供。

https://chromereleases.googleblog.com/2024/10/stable-channel-update-for-desktop_15.html