谷歌修补了6个严重的Chrome错误

谷歌 Chrome的最新安全更新包括两个列入黑名单的SSL证书,这些证书可能与最近从Comodo经销商处盗窃的数字证书有关。

谷歌周四修补了Chrome中的六个漏洞,并且像往常一样,以静默方式更新了用户的浏览器副本。

铬10.0.648.204的更新还包括另外两个列入黑名单的SSL证书,这可能与上周从Comodo经销商处盗窃的9个数字证书有关。

这六个漏洞均被评为“高”,这是Google威胁评分系统中排名第二的严重漏洞。在这六个漏洞中,有两个是“免费使用后”漏洞-一种可用于注入攻击代码的内存管理错误-而第二个漏洞被Google称为“陈旧指针”漏洞,这是另一种漏洞内存分配缺陷。

按照Google的做法,该公司锁定了其错误跟踪数据库,从而阻止了对已修补漏洞的技术细节的访问。 谷歌通常会在几周后(有时是几个月后)解锁错误条目,以使用户有时间在信息公开之前进行更新。

谷歌向三位不同的研究人员支付了8,500美元的赏金,以发现并报告这六个漏洞。今年到目前为止,Google已削减了总计58,145美元的赏金支票。

经常撰稿人谢尔盖·格拉祖诺夫(Sergey Glazunov)报告了周四修补的四个错误,因此带回家7,000美元,使他在2011年的赏金总额达到了20,634美元。 Glazunov已成为独立研究人员中最多产的,他们专门研究了Chrome缺陷,报告了归因于外部人员的54个错误中的14个。

昨天是Google今年第六次修补其浏览器中的安全漏洞。

谷歌表示,该更新还增加了对Linux上浏览器密码管理器的支持,并包括性能和稳定性修复程序。根据Chrome更改列表, 将另外两个SSL(安全套接字层)证书列入黑名单 ,数字证书,用于加密用户和网站之间的流量。

SSL黑名单的增加可能与上周从Comodo经销商处盗窃了多个证书有关,该事件促使Comodo撤销了被盗的证书。从那时起,Google,Mozilla和Microsoft分别发布了更新程序-Google是第一个偏离标准的程序-阻止证书并警告用户是否尝试连接到假网站。

Comodo引用了间接证据表明 指向伊朗 ,也许是伊朗政府参与了证书盗窃。

谷歌周五没有立即回答有关Chrome黑名单的最新添加是否与Comodo盗窃有关的问题。

铬10 可以从Google的网站下载Windows,Mac OS X和Linux版本。已经运行浏览器的用户将自动更新。

格雷格·凯泽(Gregg Keizer)报道了Microsoft,安全问题,苹果,Web浏览器和Computerworld的常规技术最新新闻。在Twitter上关注Gregg,网址为: @gkeizer ,或订阅 Gregg的RSS feed 。他的电子邮件地址是 [email protected] .

阅读有关安全性的更多信息 在Computerworld的“安全主题中心”中。

版权© 2011 IDG通讯,Inc.