Chrome Releases
Release updates from the Chrome team
Stable Update: Security fixes
вторник, 25 августа 2009 г.
Google Chrome 2.0.172.43 has been released to the Stable channel to fix the security issues listed below.
CVE-2009-
2935
Unauthorized memory read from Javascript
A flaw in the V8 Javascript engine might allow specially-crafted Javascript on a web page to read unauthorized memory, bypassing security checks. It is possible that this could lead to disclosing unauthorized data to an attacker or allow an attacker to run arbitrary code.
More info
:
http://code.google.com/p/chromium/issues/detail?id=18639
(This issue will be made public once a majority of users are up to date with the fix.)
Severity
:
High
.
An attacker might be able to run arbitrary code within the Google Chrome sandbox
.
Credit:
This issue was found by Mozilla Security.
Mitigations
:
A victim would need to visit a page under an attacker's control.
Any code that an attacker might be able to run inside the renderer process would be inside the sandbox.
Click here
for more details about sandboxing.
Security Fix: Treat weak signatures as invalid
Google Chrome no longer connects to HTTPS (SSL) sites whose certificates are signed using MD2 or MD4 hashing algorithms. These algorithms are considered weak and might allow an attacker to spoof an invalid site as a valid HTTPS site.
More info
:
http://code.google.com/p/chromium/issues/detail?id=18725
(This issue will be made public once a majority of users are up to date with the fix.)
Severity
:
Medium
.
Further advances in attacks against weak hashing algorithms may eventually permit attacks to forge certificates.
Credit:
Dan Kaminsky, Director of Penetration Testing, IOActive Inc., Meredith Patterson and Len Sassaman. See their paper at
http://www.ioactive.com/pdfs/PKILayerCake.pdf
CVE-2009-2414
Stack consumption vulnerability in libxml2
CVE-2009-2416
Multiple use-after-free vulnerabilities in libxml2
Pages using XML can cause a Google Chrome tab process to crash.
A malicious XML payload may be able to trigger a
use-after-free condition.
Other tabs are unaffected.
More info
: See the CVE entries noted in this report.
Severity
:
High
.
An attacker might be able to run arbitrary code within the Google Chrome sandbox
.
Credit:
Original discovery by Rauli Kaksonen and Jukka Taimisto from the CROSS project at Codenomicon Ltd. The Google Chrome security team determined that Chrome was affected.
Mitigations
:
A victim would need to visit a page under an attacker's control.
Any code that an attacker might be able to run inside the renderer process would be inside the sandbox.
Click here
for more details about sandboxing.
Jonathan Conradt
Engineering Program Manager
Ярлыки
Admin Console
43
Android WebView
19
Beta
20
Beta updates
1914
chrome
15
Chrome Dev for Android
100
Chrome for Android
850
Chrome for iOS
324
Chrome for Meetings
5
Chrome OS
1137
Chrome OS Flex
14
Chrome OS Management
12
Chromecast Update
6
ChromeOS
144
ChromeOS Flex
144
Desktop Update
1004
dev update
263
Dev updates
1436
Early Stable Updates
35
Extended Stable updates
101
Flash Player update
5
Hangouts Meet hardware
5
LTS
69
stable
8
Stable updates
1134
Archive
2024
мая
апр.
мар.
февр.
янв.
2023
дек.
нояб.
окт.
сент.
авг.
июл.
июн.
мая
апр.
мар.
февр.
янв.
2022
дек.
нояб.
окт.
сент.
авг.
июл.
июн.
мая
апр.
мар.
февр.
янв.
2021
дек.
нояб.
окт.
сент.
авг.
июл.
июн.
мая
апр.
мар.
февр.
янв.
2020
дек.
нояб.
окт.
сент.
авг.
июл.
июн.
мая
апр.
мар.
февр.
янв.
2019
дек.
нояб.
окт.
сент.
авг.
июл.
июн.
мая
апр.
мар.
февр.
янв.
2018
дек.
нояб.
окт.
сент.
авг.
июл.
июн.
мая
апр.
мар.
февр.
янв.
2017
дек.
нояб.
окт.
сент.
авг.
июл.
июн.
мая
апр.
мар.
февр.
янв.
2016
дек.
нояб.
окт.
сент.
авг.
июл.
июн.
мая
апр.
мар.
февр.
янв.
2015
дек.
нояб.
окт.
сент.
авг.
июл.
июн.
мая
апр.
мар.
февр.
янв.
2014
дек.
нояб.
окт.
сент.
авг.
июл.
июн.
мая
апр.
мар.
февр.
янв.
2013
дек.
нояб.
окт.
сент.
авг.
июл.
июн.
мая
апр.
мар.
февр.
янв.
2012
дек.
нояб.
окт.
сент.
авг.
июл.
июн.
мая
апр.
мар.
февр.
янв.
2011
дек.
нояб.
окт.
сент.
авг.
июл.
июн.
мая
апр.
мар.
февр.
янв.
2010
дек.
нояб.
окт.
сент.
авг.
июл.
июн.
мая
апр.
мар.
февр.
янв.
2009
дек.
нояб.
окт.
сент.
авг.
июл.
июн.
мая
апр.
мар.
февр.
янв.
2008
дек.
нояб.
окт.
сент.
Give us feedback in our
Product Forums
.