• Thứ Năm, 30/06/2011 14:37 (GMT+7)

    Google vá 7 lỗi nguy hiểm trong Chrome

    Phạm Q
    Thứ 3 vừa qua, Google đã tung ra bản cập nhật bảo mật thứ hai trong tháng này dành cho trình duyệt Chrome.

    Có 7 lỗ hổng bảo mật được cập nhật với bản vá Chrome 12.0.742.112, trong đó chỉ có một lỗ hổng được đánh giá ở mức cao, mức nguy hiểm thứ 2 trong thang điểm 4 của Google. Các thành phần được vá lỗi bao gồm “động cơ” V8 JavaScript, CSS và phân tích cú pháp HTML. Trước bản cập nhật này, lần cuối Google Chrome được cập nhật là thứ Ba tuần trước (8/6/2011), vá 15 lỗi.

    3 trong số 7 lỗ hổng được xác định là lỗi "use-after-free", một lỗ hổng nằm trong khâu quản lý bộ nhớ. Lỗi này có thể bị kẻ xấu khai thác để đưa các mã độc phục vụ cho mục đích tấn công sau này.

    Google luôn giữ kín cơ sở dữ liệu theo dõi các lỗi của trình duyệt Chrome, đề phòng việc thảo luận của các kỹ sư bảo mật bị tiết lộ ra ngoài. Công ty cũng không cho phép công bố cơ sở dữ liệu này trước khi có bản cập nhật vá lỗi cho người dùng. Thời gian chờ có khi lên tới vài tháng. Trong trường hợp bản cập nhật trước, chỉ có 2 trong số 15 lỗi là được công bố ra ngoài.

    Google đã thưởng 6.000 USD (~ 120 triệu VNĐ) cho ba nhà nghiên cứu phát hiện 7 lỗ hổng bảo mật lần này, trong đó 4.500 USD (~ 90 triệu VNĐ) được trao cho một nhà nghiên cứu có bí danh "miaubiz", người phát hiện ra 5 trong số 7 lỗ hổng trên.


    Sergey Glazunov người phát hiện ra nhiều lỗ hổng an ninh nhất cho trình duyệt Chrome từ trước đến nay lại không có mặt lần này. Glazunov là nhà nghiên cứu duy nhất đã được nhận giải thưởng hàng đầu của Google trị giá 3.133 USD (~63 triệu VNĐ) tới hai lần.

    Hiện chỉ có Google và Mozilla là treo thưởng bằng tiền mặt cho các nhà nghiên cứu bảo mật độc lập khi họ p lỗi trình duyệt của họ. Cả hai công ty tuy đã có tranh cãi về việc này, song đều thừa nhận rằng việc có nhiều người tham gia phát hiện lỗi đã góp phần cải thiện an ninh các ứng dụng của họ một cách đáng kể.

    Kỹ sư bảo mật của Google, Chris Evans nêu quan điểm trên một bài viết đăng trên blog của mình tháng trước: "Nếu bạn có tổ chức chương trình tìm lỗi trúng thưởng, chắc chắn bạn sẽ nhận được sự tham gia của cộng đồng các nhà nghiên cứu. Vấn đề tiền bạc và danh dự luôn được nêu ra khi một chương trình tương tự như thế này được tổ chức, nhưng sự thực là bạn sẽ nhận được nhiều thông báo hơn khi có cuộc thi. Và một khi thói quen tìm kiếm và sửa chữa lỗi bảo mật trở thành văn hóa trong cộng đồng những nhà nghiên cứu, người dùng của bạn sẽ được an toàn hơn nhiều".

    Cho tới nay, Google đã chi ra hơn 94.000 USD (~1,9 tỷ VNĐ) cho việc tìm ra và sửa lỗi bảo mật trình duyệt.

    Trình duyệt Chrome đã được phát hành tới phiên bản 12 vào đầu tháng này, do vậy bản cập nhật hôm thứ 3 vừa qua không mang lại thêm tính năng gì mới ngoài việc vá lỗi. Nhưng phiên bản 13 (beta), ra mắt trong khoảng thời gian từ giữa đến cuối tháng 7 tới, được hy vọng sẽ ổn định hơn.

    Google đã biến Chrome thành trình duyệt có tốc độ cập nhật phiên bản nhanh nhất hiện nay, thông thường thời gian giữa 2 phiên bản chỉ từ 6-8 tuần. Mới đây Mozilla cũng đã bước vào cuộc đua tốc độ này khi vừa tung ra phiên bản mới của Firefox chỉ sau 6 tuần so với phiên bản trước đó.

    Theo công ty đo lường web Net Applications, vào tháng trước, trình duyệt Chrome chiếm 12,5% thị phần trình duyệt toàn cầu.

    Các bản cập nhật của Chrome sẽ được Google cập nhật tự động như một dịch vụ chạy nền.
     

    Nguồn: Infoworld