На прошлой неделе компания Google выпустила очередную порцию патчей, которые устраняют 21 уязвимость в браузере Chrome. Из 21 уязвимости, шесть брешей имеют высокую степень опасности, за которые исследователи получили вознаграждения. Совокупно сторонним "баг-хантерам" было выплачено 30 тыс. Версия браузера Chrome 54.0.2840.59 закрывает уязвимости браузераз для Windows, Mac и Linux.

Две уязвимости были обнаружены в PDFium, дефолтном PDF-просмотрщике Chrome. По заявлению Google, исследователи нашли в этом движке use-after-free высокой степени опасности (CVE-2016-5184 и CVE-2016-5183). В текущем году разработчик уже устранял уязвимости PDFium несколько раз, в частности, в мае, когда команда Cisco Talos обнаружила возможность исполнения кода с помощью вредоносного PDF-файла, содержащего изображение в формате JPEG 2000. Так же был обнаружен опасный баг, нацеленый на переполнения буфера (CVE-2016-5182). Данная уязвимость была обнарудена исследователем Ки Ван Го (GiWan Go) из корейской ИБ-компании Stealien. Использование высвобожденной памяти в Blink (CVE-2016-5185), позволяет злоумышленнику исполнить произвольный код или вызвать крэш программы. Еще один опасный баг обнаружил исследователь Луан Эррера (Luan Herrera); данная брешь (CVE-2016-5187), оцененная в $1 тыс., открывает возможность для подмены URL.

Более подробную информацию можно получить из офиуиального релиза, размещённого на сайте Chrome Releases