Google于本周二(9/4)发布Chrome 69,除了添加各式功能之外,也修补了40个安全漏洞,总计发出了31500美元(台币约97.8万元)的漏洞挖掘奖金。
这40个安全漏洞有些是由铬团队自行发现,有些则是来自外部研究人员的举报,当中,获得最高5000美元奖金的是由Brendon Tiszka所披露的CVE-2018-16065,这是一个存在于V8 JavaScript引擎的越界写入(out of bounds write )漏洞,成功的攻击可执行任意程序代码。
其它6个同样被列为高度严重的安全漏洞分别是CVE-2018-16066,CVE-2018-16067,CVE-2018-16068 ,CVE-2018-16069,CVE-2018-16070与CVE-2018-16071。
Google表示,他们计划等到大多数的用户都升级到Chrome 69之后再公布漏洞细节,此外,如果漏洞是存在于其它项目也依赖的第三方函数库,且还未被修补,谷歌也会限制相关漏洞信息的访问权。
但非营利的网络安全组织CIS(互联网安全中心)则透露,此次Chrome 69所修补的漏洞中,除了将允许黑客执行任意程序之外,黑客也能获得机密信息,绕过安全限制,执行未被授权的行为,或是造成服务阻断的状况。因此,不管是为了体验新功能或是安全性,部署Chrome 69方为上策。
然而,不少Chrome用户发现,他们在部署Chrome 69之后,通过浏览器所看到的字体变模糊了,包括网页中的文本,或者是在Omnibox中搜索后所出现的建议文本。目前尚不清楚Chrome 69让字体变模糊的原因,且似乎只影响窗口平台,铬团队则已展开调查。