Web

Google Chrome 60 débarque avec 40 correctifs de sécurité et des améliorations

La dernière itération du navigateur le plus utilisé au monde, Chrome, est annoncée. Chrome 60 est disponible en téléchargement pour plusieurs plateformes. Il s’adresse ainsi aux utilisateurs de Windows, MacOS ou encore GNU/Linux. Cette version propose de multiples corrections de sécurité et diverses améliorations.

En l’espace de quelques heures seulement Chrome 60.0.3112.78  est passé du canal bêta au canal stable. Ses utilisateurs sont ainsi invités à mettre à jour leur version afin des profiter de ses avancés.

Chrome 60, des améliorations

En ce qui concerne ses principales améliorations, Google a mises en œuvre l’API de demande de paiement pour la plate-forme Android, l’utilisation de codage vidéo VP9 « ouvert » et sans redevance avec le MP4 (ISO BMFF) tandis qu’un nouveau format « VP9 String » est disponible.

La firme déconseille aux développeurs d’utiliser la fonction fetch () pour accéder à des mots de passe stockés. L’objectif est de pousser l’utilisation l’API Credential Management. Chrome 60 prend désormais en charge le « CSS @font-face descriptor » et une nouvelle API Paint Timing.

Au sujet de ses deux dernières nouveautés le blog Chromium précise

” Pour donner aux développeurs un meilleur aperçu de la performance de chargement de leur site, la nouvelle API Paint Timing propose des mesures que capturent First Paint et First Contentful Paint “

Chrome 60 propose également pas moins de 40 corrections de sécurité. Ceci concerne pas mal de chose comme l’IndexedDB, le V8 et PPAPI ou encore le moteur Blink, une confusion de type dans les extensions et des problèmes d’écriture hors limites dans PDFium et PPAPI

Google mentionne aussi des correctifs pour OmniBox , Chrome Apps, Skia,  SQLite, PDFium SVG et la boîte de dialogue des paiements.

Vous trouverez tous les détails sur ces corrections de sécurité en fin d’article. Chrome 60.0.3112.78 est disponible sous Windows, GNU / Linux et Mac OS.

Navigateur Chrome 60, note de version

Application : Navigateur Internet

Développeur : Google

Nom : Chrome

Version : 60.0.3112.78

Contenu

Security Fixes and Rewards

Note: Access to bug details and links may be kept restricted until a majority of users are updated with a fix. We will also retain restrictions if the bug exists in a third party library that other projects similarly depend on, but haven’t yet fixed.

This update includes 40 security fixes. Below, we highlight fixes that were contributed by external researchers. Please see the Chrome Security Page for more information.

  • [$10000][728887] High CVE-2017-5091: Use after free in IndexedDB. Reported by Ned Williamson on 2017-06-02
  • [$5000][733549] High CVE-2017-5092: Use after free in PPAPI. Reported by Yu Zhou, Yuan Deng of Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室) on 2017-06-15
  • [$3000][550017] High CVE-2017-5093: UI spoofing in Blink. Reported by Luan Herrera on 2015-10-31
  • [$1000][702946] High CVE-2017-5094: Type confusion in extensions. Reported by Anonymous on 2017-03-19
  • [$1000][732661] High CVE-2017-5095: Out-of-bounds write in PDFium. Reported by Anonymous on 2017-06-13
  • [$TBD][714442] High CVE-2017-5096: User information leak via Android intents. Reported by Takeshi Terada on 2017-04-23
  • [$TBD][740789] High CVE-2017-5097: Out-of-bounds read in Skia. Reported by Anonymous on 2017-07-11
  • [$TBD][740803] High CVE-2017-5098: Use after free in V8. Reported by Jihoon Kim on 2017-07-11
  • [$N/A][733548] High CVE-2017-5099: Out-of-bounds write in PPAPI. Reported by Yuan Deng, Yu Zhou of Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室) on 2017-06-15
  • [$2000][718292] Medium CVE-2017-5100: Use after free in Chrome Apps. Reported by Anonymous on 2017-05-04
  • [$1000][681740] Medium CVE-2017-5101: URL spoofing in OmniBox. Reported by Luan Herrera on 2017-01-17
  • [$1000][727678] Medium CVE-2017-5102: Uninitialized use in Skia. Reported by Anonymous on 2017-05-30
  • [$500][726199] Medium CVE-2017-5103: Uninitialized use in Skia. Reported by Anonymous on 2017-05-25
  • [$500][729105] Medium CVE-2017-5104: UI spoofing in browser. Reported by Khalil Zhani on 2017-06-02
  • [$N/A][742407] Medium CVE-2017-7000: Pointer disclosure in SQLite. Reported by Chaitin Security Research Lab (@ChaitinTech) working with Trend Micro’s Zero Day Initiative
  • [$1000][729979] Low CVE-2017-5105: URL spoofing in OmniBox. Reported by Rayyan Bijoora on 2017-06-06
  • [$TBD][714628] Medium CVE-2017-5106: URL spoofing in OmniBox. Reported by Jack Zac on 2017-04-24
  • [$N/A][686253] Low CVE-2017-5107: User information leak via SVG. Reported by David Kohlbrenner of UC San Diego on 2017-01-27
  • [$N/A][695830] Low CVE-2017-5108: Type confusion in PDFium. Reported by Guang Gong of Alpha Team, Qihoo 360 on 2017-02-24
  • [$N/A][710400] Low CVE-2017-5109: UI spoofing in browser. Reported by José María Acuña Morgado on 2017-04-11
  • [$N/A][717476] Low CVE-2017-5110: UI spoofing in payments dialog. Reported by xisigr of Tencent’s Xuanwu Lab on 2017-05-02

Système d’exploitation : Windows, Mac et Linux

Jérôme Gianoli

Aime l'innovation, le hardware, la High Tech et le développement durable. Soucieux du respect de la vie privée.

Partager
Publié par
Jérôme Gianoli

Article récent

ZOTAC dévoile la gamme des GeForce RTX 50 et confirme les spécifications

Le site officiel de Zotac a confirmé l’existence des GeForce RTX 50 series et leur… Lire d'avantage

23/12/2024

Les Radeon RX 9070 XT et non XT apparaissent !

La prochaine Radeon RX 8800 XT pourrait bien d’appeler la Radeon RX 9070 XT. C’est… Lire d'avantage

23/12/2024

WigiDash de G.Skill, un écran USB tactile de 7 pouces indispensable ?

G.Skill tente de se distinguer sur le marché des périphériques en lançant le WigiDash, un… Lire d'avantage

23/12/2024

Test WigiDash de G.Skill

G.Skill a étoffé son catalogue produits avec l’annonce du WigiDash. Il s’agit d’un périphérique USB… Lire d'avantage

23/12/2024

Ventilateur UNI FAN TL, Lian li propose du sans fil 2,4 GHz

Lian Li dévoile sa gamme de ventilateurs UNI FAN TL Wireless. La technologie 2,4 GHz… Lire d'avantage

20/12/2024

Intel abandonne le projet x86S et forme un partenariat avec AMD

Intel abandonne son initiative x86S, un projet visant à rationaliser l'architecture x86 en supprimant les… Lire d'avantage

20/12/2024