แก้ไขบั๊ครวม 33 รายการ เกินครึ่งมีความรุนแรงระดับสูง
Google ออกแพชท์อัปเดตเบราเซอร์ยอดนิยมอย่าง Chrome เวอร์ชัน 53 ซึ่งจัดการอุดช่องโหว่ด้านความมั่นคงปลอดภัยรวม 33 รายการ โดยครึ่งหนึ่งของช่องโหว่เหล่านั้นมีระดับความรุนแรงสูง แนะนำให้ผู้ใช้รีบอัปเดตเป็นเวอร์ชันล่าสุดโดยทันที นอกจากนี้ Google ยังมอบเงินรางวัลให้แก่ผู้ที่ค้นพบช่องโหว่ผ่าน Bug Bounty Program รวมแล้วเกือบ 2,000,000 บาท

ช่องโหว่ที่ได้รับเงินรางวัลสูงสุด ($7,500 หรือประมาณ 260,000 บาทต่อรายการ) คือช่องโหว่ Cross-site Scripting ที่ค้นพบใน Blink และ Script Injection บนการทำงานของ Extensions ส่วนช่องโหว่อื่นๆ ที่มีระดับความรุนแรงสูงส่วนใหญ่จะเป็น Heap Overflow ใน PDFium สำหรับอ่านไฟล์ PDF บน Chrome
รายการช่องโหว่ที่ได้รับการแก้ไขใน Chrome 53 ที่ได้รับรางวัลจาก Bug Bounty Program ประกอบด้วย
- [$7500][628942] High CVE-2016-5147: Universal XSS in Blink. Credit to anonymous
- [$7500][621362] High CVE-2016-5148: Universal XSS in Blink. Credit to anonymous
- [$7500][573131] High CVE-2016-5149: Script injection in extensions. Credit to Max Justicz (http://web.mit.edu/maxj/www/)
- [$5000][637963] High CVE-2016-5150: Use after free in Blink. Credit to anonymous
- [$5000][634716] High CVE-2016-5151: Use after free in PDFium. Credit to anonymous
- [$5000][629919] High CVE-2016-5152: Heap overflow in PDFium. Credit to GiWan Go of Stealien
- [$3500][631052] High CVE-2016-5153: Use after destruction in Blink. Credit to Atte Kettunen of OUSPG
- [$3000][633002] High CVE-2016-5154: Heap overflow in PDFium. Credit to anonymous
- [$3000][630662] High CVE-2016-5155: Address bar spoofing. Credit to anonymous
- [$3000][625404] High CVE-2016-5156: Use after free in event bindings. Credit to jinmo123
- [$TBD][632622] High CVE-2016-5157: Heap overflow in PDFium. Credit to anonymous
- [$TBD][628890] High CVE-2016-5158: Heap overflow in PDFium. Credit to GiWan Go of Stealien
- [$TBD][628304] High CVE-2016-5159: Heap overflow in PDFium. Credit to GiWan Go of Stealien
- [$n/a][622420] Medium CVE-2016-5161: Type confusion in Blink. Credit to 62600BCA031B9EB5CB4A74ADDDD6771E working with Trend Micro’s Zero Day Initiative
- [$n/a][589237] Medium CVE-2016-5162: Extensions web accessible resources bypass. Credit to Nicolas Golubovic
- [$3000][609680] Medium CVE-2016-5163: Address bar spoofing. Credit to Rafay Baloch PTCL Etisalat (http://rafayhackingarticles.net)
- [$2000][637594] Medium CVE-2016-5164: Universal XSS using DevTools. Credit to anonymous
- [$1000][618037] Medium CVE-2016-5165: Script injection in DevTools. Credit to Gregory Panakkal
- [$TBD][616429] Medium CVE-2016-5166: SMB Relay Attack via Save Page As. Credit to Gregory Panakkal
- [$500][576867] Low CVE-2016-5160: Extensions web accessible resources bypass. Credit to @l33terally, FogMarks.com (@FogMarks)
ที่มา: https://threatpost.com/chrome-53-fixes-address-spoofing-vulnerability-32-other-bugs/120305/