Google Chrome 17

Компанія Google представила реліз web-браузера Chrome 17, доступного для платформ Linux, Mac OS X і Windows. Браузер побудований на кодової базі вільного проекту Chromium і відрізняється використанням логотипів Google, вбудованою підтримкою Flash і PDF, наявністю системи відправки повідомлень в разі краху, системою автоматичної установки оновлень і передачею при пошуку RLZ-параметрів.

Основні поліпшення:

• Оновлена ​​система попереджуючої завантаження при навігації через адресний рядок Omnibox. При початку введення запиту в адресному рядку система враховує найбільш часті минулі запити і пропонує найбільш ймовірний варіант посилання, починаючи завантажувати та формувати запропоновану системою автодоповнення сторінку ще до того як користувач натиснув Enter. Таким чином, коли користувач вибере дану сторінку, вона відкриється миттєво, без найменшої затримки;
• Додатковий захист від завантаження шкідливих програм. На додаток до перевірки по чорному списку завідомо відомих небезпечних файлів, Chrome відтепер виконує перевірку на предмет завантаження виконуваних файлів. Якщо виконуваний файл не поміщений в білий список, то проводиться додаткова перевірка через звернення до сервісів Google (передається IP сайту і URL). Сервіс аналізує наявність аномалій при організації завантажень з сайта (наприклад, випадкове формування імен файлів) і враховують факти поширення шкідливого ПЗ з даного ресурсу. Використовуючи алгоритми машинного навчання обчислюється репутація сайту і якщо є підозри користувачеві виводиться відповідне попередження;
• Нові API для створення модулів;
• Підтримка тега <meta name="referrer">;
• В налаштуваннях з'явилася можливість управління правами доступу для Mouse Lock API;
• Покращено якість рендеринга тексту PDF для платформи Mac OS X;
• Оновлення JavaScript-движка V8 до версії 3.7.12.12.

Крім нововведень і виправлення помилок, у новій версії усунено 20 вразливостей, з яких 8 помічені як небезпечні, 5 - помірні та 6 - незначні. Однією з вразливостей (Race condition після краху допоміжного процесу) присвоєно статус критичної проблеми, яка дозволяє обійти всі рівні захисту браузера і зробити успішну атаку на систему користувача. Подробиці з детальним описом вразливостей доступні тільки зареєстрованим розробникам проекту Chromium. В рамках програми по виплаті грошової винагороди за виявлення вразливостей для поточного релізу компанія Google виплатила дослідникам безпеки 10500 доларів США (одна премія 2000 $, сім по 1000$ і три по 500$).

З пов'язаних з безпекою проблем можна згадати: звернення до звільненої області пам'яті в коді переглядача PDF, в обробнику події mousemove, в системі обробки CSS і в коді виведення SVG; переповнення буфера в коді обробки локалі; скидання транзакції в IndexDB при краху; читання даних з області поза буфера при декодуванні звуку, в libxslt, в трансляторі шейдеров, в коді обробки зображень в PDF і в обробнику нормалізації шляхів. 10 з виправлених 20 вразливостей виявлено за допомогою інструментарію address-sanitizer, призначеного для автоматизованого визначення фактів звернення до звільненим областям пам'яті, виходу за межі кордонів виділеного буфера і деяких інших типів помилок при роботі з пам'яттю.