Google виплатила понад $60 000 за знайдені вразливості в V8

У середу компанія Google оголосила про випуск оновлення Chrome 115, яке виправляє 17 уразливостей, в тому числі 11 недоліків, про які повідомили зовнішні дослідники.

Оновлення браузера усуває три серйозні помилки у рушію V8 JavaScript і WebAssembly, які принесли дослідникам, що повідомили про них, понад 60 000 доларів США у вигляді винагороди за виправлення помилок, зазначає Google у своєму повідомленні.

Інтернет-гігант повідомляє, що виплатив $43 000 винагороди досліднику безпеки на ім’я Джеррі, який повідомив про дві з цих проблем у V8, що відстежуються як CVE-2023-4068 та CVE-2023-4070.

Винагороду у розмірі $21 000 отримав Ман Юе Мо (Man Yue Mo) з GitHub Security Lab за повідомлення про баг, що відслідковується як CVE-2023-4069.

Останнє оновлення Chrome усуває шість інших вразливостей високого рівня небезпеки. Судячи з виплачених баунти, найсерйознішою з них є CVE-2023-4071, помилка переповнення буфера динамічної пам’яті.

Наступною на черзі є проблема читання та запису за межами пам’яті у WebGL (CVE-2023-4072), за якою слідує помилка доступу за межами пам’яті у шарі абстракції графічного рушія ANGLE (CVE-2023-4073).

Остання ітерація Chrome також усунула дві помилки середньої тяжкості в розширеннях: недостатню перевірку даних і проблему з невідповідною реалізацією.

Google заявляє, що виплатила дослідникам, які повідомили про баги, винагороду в розмірі 123 000 доларів США.

Останній реліз Chrome наразі доступний у версії 115.0.5790.170 для Mac і Linux та у версіях 115.0.5790.170/.171 для Windows.

Google не згадує про те, що ці вразливості були використані під час атак.