Компания Google экстренно выпустила обновление для своего браузера Chrome, закрывающее только одну 0-day-уязвимость, найденную компанией Avast 25 октября этого года — CVE-2022-3723.

Для обеспечения безопасности подробности уязвимости не раскрывались.

Всем пользователям рекомендуется обновить браузер до актуальных версий:

• 107.0.5304.87 для macOS и Linux;
• 107.0.5304.87 или 107.0.5304.88 для Windows;
• 107.0.5304.91 для Android.

>>> Подробности

11 октября вышла свежая версия облачной операционной системы от Google — Chrome OS.

Chrome OS представляет собой операционную систему на базе ядра Linux с браузером Chrome в качестве единственного доступного пользователю приложения, в котором и происходит вся работа с ОС с помощью WEB-приложений. Несмотря на это, в ней реализован привычный оконный интерфейс, «рабочий стол» и панель задач.

Исходные коды ОС доступны под лицензией Apache 2.0.

Из основных изменений:

• Устранены 10 критичных уязвимостей, таких как обращение к освобожденной памяти в Ash или слабая проверка ввода в DevTools;
• Приложение Cursive теперь умеет запоминать настроенные параметры пера после перезапуска.

Также стоит обратить внимание на анонс выпуска новых ChromeBook’ов — ноутбуков с ChromeOS от компаний Acer, ASUS и Lenovo.

>>> Подробности

Компания Google представила выпуск свободного браузера Chromium 94. Одновременно состоялся выпуск основанного на Chromium проприетарного браузера Chrome 94.

( читать дальше... )

>>> Подробности

Вышла новая версия дистрибутива Chrome OS, который основан на Linux дистрибутиве Gentoo и интернет-браузере Google Chrome. Окружение рабочего стола предполагает использование одноимённого браузера и набора веб-приложений, которые заменяют собой стандартное прикладное ПО, тем не менее, в дистрибутиве присутствует привычный рабочий стол, многооконность и панель, а также поддержка запуска Android приложений. Для скачивания доступны образы для большинства актуальных моделей Chromebook, а сообщество подготовило неофициальные сборки для обычных ноутбуков и настольных ПК на базе x86 и x86_64, а также ARM архитектур. Исходный код доступен под лицензией Apache 2.0

( читать дальше... )

>>> Подробности

Fuchsia — операционная система от Google, в основе которой лежат оригинальное микроядро Zircon, написанное на языках С и C++, и пользовательская оболочка, написанная на языке Dart с использованием фреймворка Flutter.

Новая система следует четырём принципам:

• безопасности — каждое приложение Fuchsia получает тот минимальный набор прав, который необходим для его корректной работы;
• обновляемости — программы и обновления безопасности Fuchsia должны доставляться так же легко и быстро, как это делается в Web;
• разнообразию — программы для Fuchsia могут быть написаны с помощью разных инструментов, включая C++, Web, Rust, Go, Flutter и Dart;
• прагматичности — Fuchsia не исследовательский эксперимент, а операционная система для конечного пользователя.

25 мая началось тихое развёртывание Fuchsia на устройствах Google Nest Hub первого поколения (Google Home Hub) — «умного дисплея» с голосовым управлением, входящего в экосистему Google Home. В рамках тестирования на устройствах пользователей заменяется Cast OS на ядре Linux, но интерфейс и функциональность остаются идентичными.

Ядро распространяется под лицензией MIT, а пользовательские компоненты под лицензиями BSD или Apache. Исходный код доступен через Git.

>>> Подробности

В ходе аудита компания Google обнаружила, что некоторые сторонние продукты, основанные на коде Chromium, используют ключи, позволяющие получить доступ к некоторым API и сервисам Google, предназначенным для внутреннего использования. В частности к google_default_client_id и к google_default_client_secret. Благодаря этому пользователь имеет возможность получать доступ к своим собственным Chrome Sync данным (таким, как закладки) не только в Chrome но и в сторонних браузерах, основанных на коде Chromium. Оправдываясь усилиями по повышению безопасности Google закрывает доступ стороннему програмному обеспечению к вышеозначенным API. Данное решение вступает в силу начиная с 15 марта этого года.

В связи с этим многие дистрибутивы рассматривают возможность полного отказа от Chromium в своих поставках. Среди них: Arch Linux, Fedora, Debian, Slackware, OpenSUSE и другие.

Первоисточник:

( читать дальше... )

>>> Подробности

Вышел очередной релиз Chrome 86 и стабильный выпуск Chromium.

( читать дальше... )

Началась замена реализации протокола QUIC на вариант, развиваемый в спецификации IETF, вместо Google-варианта QUIC. Кроме нововведений и исправления ошибок в новой версии устранено 35 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Одна уязвимость (CVE-2020-15967, обращение к освобождённой области памяти в коде для взаимодействия с Google Payments) помечена как критическая, т.е. позволяет обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 27 премий на сумму 71500 долларов США (одна премия $15000, три премии $7500, пять премий $5000, две $3000, одна $200 и две премии $500). Размер 13 вознаграждений пока не определён.

Взято с Opennet.ru

>>> Подробности

Состоялся выпуск браузера Google Chrome 83 и соответствующего свободного варианта Chromium, выступающего в качестве основы. Предыдущий релиз, 82-й, был пропущен из-за перевода разработчиков на удалённый режим работы.

Из нововведений:

• Режим «DNS over HTTPS» (DoH) теперь включён по умолчанию, если DNS-провайдер пользователя это поддерживает.
• Дополнительные проверки безопасности:
  • Теперь можно проверить, не скомпрометированы ли логин и пароль, и получить рекомендации по исправлению.
  • Доступна технология безопасного просмотра сайтов Safe Browsing. При отключении будет выводиться предупреждение при посещении сомнительных сайтов.
  • Также будут выводиться уведомления о вредоносных дополнениях.
• Изменения во внешнем виде:
  • Новый вид панели дополнений, в котором теперь доступны дополнительные настройки.
  • Переработана вкладка настроек. Теперь опции сгруппированы в четыре базовые секции. Также вкладка «Люди» переименована в «Я и Google»
  • Упрощено управление «cookies». Теперь пользователь может быстро включить блокировку сторонних «cookies» для всех сайтов либо же конкретного сайта. Также включена блокировка всех «cookies» от посторонних сайтов в режиме «Инкогнито».
• Добавлены новые инструменты разработчика: эмулятор восприятия страницы людьми с дефектами зрения, отладчик COEP (Cross-Origin Embedder Policy). Также переработан интерфейс отслеживания длительности выполняемого кода JavaScript.

Некоторые запланированные изменения в связи с глобальной ситуацией были отложены: удаление поддержки протокола FTP, TLS 1.0/1.1 и т.д.

Детали на blog.google

>>> Анонс на chromereleases.googleblog.com

Об этом сообщалось в письме, разосланном пользователям G Suite. Причиной заявлена высокая уязвимость к угону учётной записи при использовании однофакторной аутентификации по логину и паролю.

15 июня 2020 года будет отключена возможность парольной аутентификации для пользователей, которые пытаются осуществить её впервые, а 15 февраля 2021 года — для всех.

В качестве замены предлагается использовать OAuth. Из свободных клиентов для IMAP, CardDAV и CalDAV этот способ аутентификации поддерживают Thunderbird и KMail (но у пользователей KMail в последнее время отмечаются проблемы).

Парольная аутентификация для SMTP продолжит работать. О подобных изменениях для некорпоративных пользователей учётных записей Google пока не известно.

>>> Подробности

Компания Google выпустила корректирующее обновление браузера Chrome 77.0.3865.90. Оно устранило четыре уязвимости, касающиеся безопасности.

Одна из уязвимостей имела статус критической, она позволяла обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. Детали о критической уязвимости (CVE-2019-13685) пока не раскрываются, до тех пор, пока пользователи не установят обновление.

Прочие уязвимости отнесены к опасным. Проблемы были вызваны обращением к освобождённому блоку памяти в коде обработки offile-страниц (CVE-2019-13686) и мультимедийных данных (CVE-2019-13687, CVE-2019-13688).

>>> Подробности

Google выпустила новую версию интернет-браузера Chrome. Одновременно доступен новый релиз open-source проекта Chromium — основы Chrome. Следующий релиз запланирован на 22-ое октября.

В новой версии:

( читать дальше... )

>>> Подробности

Корпорация Google выложила под открытой лицензией библиотеку дифференциальной приватности на страничку GitHub компании. Код распространяется под лицензией Apache License 2.0.

( читать дальше... )

>>> Подробности