O Google anunciou na terça-feira o lançamento do Chrome 115 para o canal estável, com patches para 20 vulnerabilidades, incluindo 11 relatadas por pesquisadores externos.
Dos defeitos de segurança relatados externamente, quatro são avaliados com uma classificação de ‘alta gravidade’. Com base nas recompensas de bugs pagas por eles, os mais importantes são CVE-2023-3727 e CVE-2023-3728, dois problemas de uso após a liberação no WebRTC. O Google diz que distribuiu uma recompensa de US$ 7.000 para cada um deles.
A terceira falha de alta gravidade que O Chrome 115 resolve é outro bug use-after-free, desta vez em Tab Groups. Rastreada como CVE-2023-3730, a vulnerabilidade recebeu uma recompensa de bug de US$ 2.000.
O quarto problema de alta gravidade, CVE-2023-3732, é descrito como um acesso de memória fora dos limites no Mojo. O bug foi descoberto pelo pesquisador do Google Project Zero, Mark Brand, e, de acordo com as políticas do Google, nenhuma recompensa por bug será emitida.
O Chrome 115 resolve seis vulnerabilidades de média gravidade relatadas externamente, que são descritas como falhas de implementação inadequadas nos componentes WebApp Installs, Picture In Picture, Web API Permission Prompts, Custom Tabs, Notifications e Autofill.
Esta versão do navegador também resolve uma validação insuficiente de baixa gravidade de bug de entrada não confiável em Temas.
O Google diz que pagou um total de US $ 34.000 em recompensas de recompensas de bugs para os pesquisadores de relatórios.
O gigante da Internet não menciona nenhuma das vulnerabilidades recém-resolvidas exploradas em ataques maliciosos.
Como de costume, os detalhes técnicos sobre as vulnerabilidades resolvidas são mantidos em sigilo até que a atualização mais recente do Chrome seja instalada pela maioria dos usuários.