Google vá 6 lỗi trong Chrome

Hôm thứ Năm 24/3/2011, Google đã vá 6 lỗ hổng bảo mật trong Chrome, và như thường lệ, “âm thầm” cập nhật trình duyệt cho người sử dụng.

Bản cập nhật lên Chrome 10.0.648.204 này cũng bao gồm thêm 2 mục (entry) cho danh sách đen của trình duyệt. Đây là động thái liên quan đến hành vi trộm cắp 9 chứng nhận số từ hãng bán lại Comodo hồi tuần trước nữa.

Tất cả 6 lỗi bị đánh giá là nguy hiểm "cao" - mức nghiêm trọng thứ hai trong hệ thống tính điểm 4 mức của Google. Trong số 6 lỗi này, có 2 lỗi quản lý bộ nhớ loại "use after free" (có thể bị khai thác để “tiêm” mã tấn công) và 2 lỗ hổng cấp phát bộ nhớ loại "stale pointer".

Kể từ đầu năm 2011, đây là lần thứ 6 Google vá lỗi bảo mật cho trình duyệt của mình. Lần cập nhật này làm Google tốn 8.500 USD để trả thưởng cho 3 nhà nghiên cứu khác nhau vì đã tìm ra và báo cáo 6 lỗ hổng này. Như vậy, từ đầu năm đến nay, Google đã chi tổng cộng 58.145 USD tiền thưởng.

Trong lần cập nhật hôm 24/3/2011, nhà nghiên cứu Sergey Glazunov đã “ẵm” về 7.000 USD tiền thưởng vì đã báo cáo 4 lỗ hổng. Như vậy, trong năm 2011, ông Glazunov đã được Google trao cho 20.634 USD tiền thưởng vì đã báo cáo 14 lỗ hổng (trong tổng số 54 lỗ hổng Chrome đã được các nhà nghiên cứu bên ngoài Google báo cáo cho công ty).

Google cho biết, bản cập nhật này cũng thêm hỗ trợ cho trình quản lý mật khẩu của trình duyệt trên Linux, và có các bản sửa lỗi hiệu suất và tính ổn định. Theo danh sách thay đổi của Chrome, nó cũng đưa vào danh sách đen nhiều chứng nhận SSL (secure socket layer) hơn.

Có thể tải Chrome 10 về cho Windows, Mac OS X và Linux từ website của Google. Người dùng đang chạy trình duyệt sẽ được cập nhật tự động.