Google Chrome 24 ยังมีการแก้ไขช่องโหว่ด้านความปลอดภัย 24 ช่องโหว่ โดยมีช่องโหว่ที่มีความรุนแรงสูง 11 ช่องโหว่ และช่องโหว่ที่มีความรุนแรงปานกลาง 8 ช่องโหว่ ซึ่งช่องโหว่เหล่านี้สามารถใช้เป็นช่องทางทำการโจมตีระบบได้ ดังนั้น เพื่อให้การท่องอินเทอร์เน็ตเป็นไปด้วยความปลอดภัย ให้ผู้ใช้ Google Chrome ทำการอัปเดทเป็นเวอร์ชัน 24.0.1312.52 ในทันทีที่ทำได้
อ่านรายละเอียดการแก้ไขปัญหาความลอดภัยใน Flash Player 11.5.31.137 ได้ ที่นี่
การดาวน์โหลดและการติดตั้ง Google Chrome 24.0.1312.52 (10 มกราคม 2556)
Google Chrome 24.0.1312.52 มาพร้อมเอนจินจาวาสคริปต์ V8 - 3.14.5.3 และ WebKit 537.17 (@138969) และปลั๊ก-อิน Flash 11.5.31.137 โดยเวอร์ชันสำหรับ Windows สนับสนุน Window XP, Windows Vista, Windows 7 และ Windows 8 (ไม่สนับสนุน Windows RT) ผู้ใช้ใหม่สามารถติดตั้งโดยใช้เบราเซอร์เปิดไปที่เว็บไซต์ Install Google Chrome แล้วคลิก ดาวน์โหลด Google Chrome จากนั้นดำเนินการคำสั่งบนจอภาพจนการติดตั้งแล้วเสร็จ
สำหรับผู้ใช้เดิมที่ทำการติดตั้ง Google Chrome 23 หรือเก่ากว่าบนเครื่องคอมพิวเตอร์โปรแกรมจะทำการอัปเดทเป็นเวอร์ชันใหม่ให้โดยอัตโนมัติ (สามารถตรวจสอบเวอร์ชันได้โดยการเปิดคำสั่ง About Google Chrome)
ภาพที่ 1: Google Chrome 24.0.1312.52
สำหรับผู้ดูแลระบบที่ต้องการติดตั้ง Google Chrome สำหรับผู้ใช้ Windows ทุกคน สามารถอ่านวิธีการทำได้ที่ วิธีการติดตั้ง Google Chrome แบบ All Users บน Windows
ภาพที่ 2: about://version
Google Chrome โหมด Modern Style บน Windows 8
สำหรับผู้ใช้ Windows 8 สามารถเปิดใช้งาน Google Chrome 24 ในโหมด Modern Style (Metro Style) ได้โดยการกำหนดให้ Google Chrome เป็น Default Browser จากนั้นเมื่อทำการเปิด Google Chrome 24 จากหน้า Start จะได้หน้าต่างโปรแกรมดังภาพที่ 3
ภาพที่ 3: Chrome 24 Modern Style (รันบน Windows 8)
มีอะไรใหม่ใน Google Chrome 24.0.1312.52 Stable?
Google Chrome 24.0.1312.52 Stable มีคุณลักษณะใหม่ดังนี้
- Add support for MathML.
- A new version of Flash Player. (11.5.31.137)
การแก้ช่องโหว่ความปลอดภัยใน Google Chrome 24.0.1312.52 Stable
Google Chrome 24.0.1312.52 มีการแก้ช่องโหว่ความปลอดภัยจำนวน 24 ช่องโหว่ รายละเอียดดังต่อไปนี้
- [$1000] [162494] CVE-2012-5145: Use-after-free in SVG layout. Credit to Atte Kettunen of OUSPG. (High)
- [$4000] [165622] CVE-2012-5146: Same origin policy bypass with malformed URL. Credit to Erling A Ellingsen and Subodh Iyengar, both of Facebook. (High)
- [$1000] [165864] CVE-2012-5147: Use-after-free in DOM handling. Credit to José A. Vázquez. (High)
- [167122] CVE-2012-5148: Missing filename sanitization in hyphenation support. Credit to Google Chrome Security Team (Justin Schuh). (Medium)
- [166795] CVE-2012-5149: Integer overflow in audio IPC handling. Credit to Google Chrome Security Team (Chris Evans). (High)
- [165601] CVE-2012-5150: Use-after-free when seeking video. Credit to Google Chrome Security Team (Inferno). (High)
- [165538] CVE-2012-5151: Integer overflow in PDF JavaScript. Credit to Mateusz Jurczyk, with contribution from Gynvael Coldwind, both of Google Security Team. (High)
- [165430] CVE-2012-5152: Out-of-bounds read when seeking video. Credit to Google Chrome Security Team (Inferno). (Medium)
- [164565] CVE-2012-5153: Out-of-bounds stack access in v8. Credit to Andreas Rossberg of the Chromium development community. (High)
- [Windows only] [164490] CVE-2012-5154: Integer overflow in shared memory allocation. Credit to Google Chrome Security Team (Chris Evans). (Low)
- [Mac only] [163208] CVE-2012-5155: Missing Mac sandbox for worker processes. Credit to Google Chrome Security Team (Julien Tinnes). (Medium)
- [162778] CVE-2012-5156: Use-after-free in PDF fields. Credit to Mateusz Jurczyk, with contribution from Gynvael Coldwind, both of Google Security Team. (High)
- [162776] [162156] CVE-2012-5157: Out-of-bounds reads in PDF image handling. Credit to Mateusz Jurczyk, with contribution from Gynvael Coldwind, both of Google Security Team. (Medium)
- [162153] CVE-2013-0828: Bad cast in PDF root handling. Credit to Mateusz Jurczyk, with contribution from Gynvael Coldwind, both of Google Security Team. (High)
- [162114] CVE-2013-0829: Corruption of database metadata leading to incorrect file access. Credit to Google Chrome Security Team (Jüri Aedla). (High)
- [Windows only] [162066] CVE-2013-0830: Missing NUL termination in IPC. Credit to Google Chrome Security Team (Justin Schuh). (Low)
- [161836] CVE-2013-0831: Possible path traversal from extension process. Credit to Google Chrome Security Team (Tom Sepez). (Low)
- [160380] CVE-2013-0832: Use-after-free with printing. Credit to Google Chrome Security Team (Cris Neckar). (Medium)
- [154485] CVE-2013-0833: Out-of-bounds read with printing. Credit to Google Chrome Security Team (Cris Neckar). (Medium)
- [154283] CVE-2013-0834: Out-of-bounds read with glyph handling. Credit to Google Chrome Security Team (Cris Neckar). (Medium)
- [152921] CVE-2013-0835: Browser crash with geolocation. Credit to Arthur Gerkis. (Low)
- [150545] CVE-2013-0836: Crash in v8 garbage collection. Credit to Google Chrome Security Team (Cris Neckar). (High)
- [145363] CVE-2013-0837: Crash in extension tab handling. Credit to Tom Nielsen. (Medium)
- [Linux only] [143859] CVE-2013-0838: Tighten permissions on shared memory segments. Credit to Google Chrome Security Team (Chris Palmer). (Low)
หมายเหตุ:
- บั๊กจำนวนหลายตัวตรวจพบโดยใช้ AddressSanitizer
- [$xxxx] คือ จำนวนเงินรางวัลที่กูเกิลมอบให้แก่ผู้ที่ค้นพบปัญหาความปลอดภัย
บทความโดย: TWA Blog
แหล่งข้อมูลอ้างอิง
Google Chrome Stable Update
Speedy Chrome delivery
Copyright © 2013 TWA Blog. All Rights Reserved.
No comments:
Post a Comment
เชิญแลกเปลี่ยนความคิดเห็น ขอสงวนสิทธิ์ในการเผยแพร่ข้อความ HTML