Состоялся выпуск очередных версий браузера Chrome/Chromium на всех трёх каналах: стабильном, бета- и альфа. Номера версий браузера на каждом из каналов достигли 38, 39 и 40, соответственно.
В стабильной версии Chrome 38 исправлено рекордное количество уязвимостей: сразу 159 штук. Большинству багов (113) присвоен минимальный рейтинг опасности. В общем, это довольно мелкие недочёты, найденные во время рутинного фаззинга (fuzz testing) в компании Google.
Но нашлись и более опасные баги, в том числе критическая уязвимость CVE-2014-3188, за информацию о которой компания Google выплатила вознаграждение в размере $27633,70. Эту сумму получил хакер Юри Аедла (Jüri Aedla). Он показал готовый эксплоит, в котором используется комбинация из нескольких уязвимостей, в том числе в движке V8 и системе межпроцессного взаимодействия (IPC). В результате, вредоносный код может выйти за пределы «песочницы» и выполнить произвольные команды в системе.
В общей сложности, компания Google выплатила вознаграждений на сумму более $52 000.
Полный список изменений в новой версии Chrome/Chromium приведён на официальном сайте. Среди них — поддержка новых программных интерфейсов для приложений и расширений, несколько экспериментальных интерфейсов (например, для гостевого режима работы с устройством и для переключения между разными пользователями), поддержка HTML-элемента picture, большое количество исправлений и улучшений, предназначенных для безопасности и стабильности.
Нужно упомянуть об обновлении на бета-канале, где вышла версия Chrome/Chromium 39 beta. Главные нововведения в ней — поддержка генераторов JavaScript (ECMAScript 6) для более удобного асинхронного программирования, контроль воспроизведения для Web Animations и новая опция Web Application Manifest для упаковки метаданных в веб-приложениях, поддержка Beacon API и другие изменения.
