11 тысяч баксов за одну строчку кода. Как исследователи заработали на багах в Chrome 143
NewsMakerКритический сбой логики позволяет хакерам перехватить управление памятью без ведома жертвы.
Команда разработчиков Chrome выпустила обновлённую стабильную версию браузера под номером 143 для операционных систем Windows, macOS и Linux. Распространение версии 143.0.7499.40 началось 2 декабря и будет происходить поэтапно в течение ближайших недель.
Обновление включает множество улучшений, а также устраняет 13 уязвимостей в системе безопасности. Основная часть из них получила высокую или среднюю степень риска. Часть проблем обнаружили внешние специалисты, за что получили денежные вознаграждения.
Наиболее серьёзной была признана уязвимость CVE-2025-13630 , связанная с ошибкой в обработке типов в JavaScript-движке V8. На неё обратил внимание Шреяс Пенкар, за что получил 11 тысяч долларов. Второй по критичности стала проблема в системе обновлений Google Updater — за её обнаружение разработчик Жота Домингос получил 3 тысячи долларов. Ещё одна серьёзная уязвимость связана с инструментами разработчика DevTools. Она была найдена Леандро Телесом.
Ещё одна высоко оценённая ошибка касалась компонента Digital Credentials — в этом случае речь идёт об уязвимости типа «use after free», когда программа обращается к уже освобождённому участку памяти. Кроме того, были исправлены уязвимости средней степени опасности в системах загрузок и модуле Loader, а также гонка данных в движке V8.
Команда разработчиков Chrome выпустила обновлённую стабильную версию браузера под номером 143 для операционных систем Windows, macOS и Linux. Распространение версии 143.0.7499.40 началось 2 декабря и будет происходить поэтапно в течение ближайших недель.
Обновление включает множество улучшений, а также устраняет 13 уязвимостей в системе безопасности. Основная часть из них получила высокую или среднюю степень риска. Часть проблем обнаружили внешние специалисты, за что получили денежные вознаграждения.
Наиболее серьёзной была признана уязвимость CVE-2025-13630 , связанная с ошибкой в обработке типов в JavaScript-движке V8. На неё обратил внимание Шреяс Пенкар, за что получил 11 тысяч долларов. Второй по критичности стала проблема в системе обновлений Google Updater — за её обнаружение разработчик Жота Домингос получил 3 тысячи долларов. Ещё одна серьёзная уязвимость связана с инструментами разработчика DevTools. Она была найдена Леандро Телесом.
Ещё одна высоко оценённая ошибка касалась компонента Digital Credentials — в этом случае речь идёт об уязвимости типа «use after free», когда программа обращается к уже освобождённому участку памяти. Кроме того, были исправлены уязвимости средней степени опасности в системах загрузок и модуле Loader, а также гонка данных в движке V8.