Хакер #305. Многошаговые SQL-инъекции
26 августа 2014 года компания Google выпустила 37-ю версию браузера Chrome для Windows, Mac, и Linux. Этот релиз примечателен рекордным количеством закрытых уязвимостей, коих набралось аж 50 штук. Среди них присутствует критическая уязвимость CVE-2014-3176/CVE-2014-3177: комбинация багов в движке V8, IPC, механизме синхронизации и работе расширений, которая приводит к удалённому исполнению кода. За информацию об этом эксплойте Google выплатила исследователям крупное вознаграждение $30 тыс.
Остальные уязвимости не настолько опасны, среди них четырём присвоен рейтинг высокой опасности (CVE-2014-3168, CVE-2014-3169, CVE-2014-3170, CVE-2014-3171), а ещё трём — средней опасности (CVE-2014-3172, CVE-2014-3173, CVE-2014-3174).
В официальном списке изменений обращают на себя внимание несколько наиболее важных.
• Поддержка DirectWrite под Windows для улучшенного рендеринга шрифтов. Проблема с отображением шрифтов в Chrome/Chromium обсуждалась с 2009 года, но только сейчас у разработчиков дошли руки до реализации поддержки DirectWrite. До нынешнего времени Chrome отрисовывал шрифты через интерфейс Graphics Device Interface (GDI), созданный в середине 80-х гг.
• Новый интерфейс парольного менеджера.
• Добавление значительного количества новых программных интерфейсов для приложений и расширений.
• Большое количество мелких системных изменений, улучшающих стабильность и производительность браузера.
Одновременно с обновлением на стабильном канале официально закончилось бета-тестирование 64-битного Chrome для Windows, о котором подробно рассказывали ранее. По сравнению со стандартной 32-битной версией, он отличается повышенной производительностью, стабильностью и лучшей безопасностью.