Közel 30 ezer dollárjába került a Google számára az a pár böngészőhiba, amit a browser legfrissebb változatából már eltávolítottak a fejlesztők. Egészen pontosan 29 133 dollárt fizetett ki a keresőóriás azoknak a kutatóknak, akik beszámoltak a most javított sebezhetőségekről.

Ezek közül a legtöbbet a CVE-2016-5181 számú érte: egy úgynevezett univerzális cross-site scripting rés volt a Blinkben, amiért a Google 7 500 dollárt szurkolt le felfedezőjének. 5 500 dollárt kapott a CVE-2016-5182 számú, túlcsordulás miatt gondot okozó biztonsági rés bejelentője, ami ugyanebben a webböngésző motorban bukkant fel.

Összesen egyébként négy sérülékenység érintette a Blink motort, de a Google – érthetően – nem közölt részletekbe menő információt a hibákról. Nem marad hosszútávon adós ugyanakkor ezekkel a vállalat, de addig nem akarja kiadni a rendelkezésére álló többi adatot addig, amíg a felhasználók nagy része nem frissítette szoftverét, illetve a harmadik fél közreműködését igénylő sebezhetőségek nem kerültek javításra.

Az 54-es, már elérhető változatra frissítéssel a felhasználók biztonságban tudhatják magukat ezektől a biztonsági résektől. Alapbeállítások esetén ez a napokban meg kell, hogy történjen, mert a szoftver önmagát automatikusan update-eli. Természetesen ezt kézzel is ki lehet kényszeríteni: a böngésző Súgó menüjéből kell megnyitni a Chrome névjegyét, ahol a frissítések letöltése és telepítése ezt követően azonnal lezajlik. Egy újraindítás után pedig életbe is lépnek a változások.

Változások a Google böngésző háza táján

Amint arról mi is beszámoltunk, a Google május közepéig támogatta saját HTTP-változatát, az SPDY-t, és áttért a HTTP/2-re. A cég egyúttal titkosítási protokollt is váltott: megszűnt a TLS NPN (Transport Layer Security Next Protocol Negotiation) támogatása is. Helyét az ALPN (Application Layer Protocol Negotiation) kiterjesztés veszi át. Ezzel biztosítható, hogy ha nem építhető fel a HTTP 2 kapcsolat, akkor az HTTP/1.x-en épüljön fel.

Emellett a HTTP internetről való eltávolítása ellen is kampányol a keresőóriás. A Chrome hamarosan figyelmeztetésekkel fogja bombázni használóit abban az esetben, ha nem biztonságos weboldalon adják meg jelszavaikat vagy hitelkártya-adataikat. Az 56-ös verzió 2017 januárjában jelenik meg a tervek szerint, eddig van idejük az érintetteknek fejleszteni anélkül, hogy csorba esne a hírnevükön.

Nemrég azt is bejelentették, hogy már készülnek a kvantumtitkosítás korára. Egyelőre a Chrome Canary-ban engedélyezte a vállalat, saját domainjeinek egy részén. Ha az új titkosítási kulcs beválik, akkor annak ellen kell állnia a jövőbeli kvantumszámítógépeket alkalmazó támadásoknak is, állítja a Google.

Előreláthatólag decemberben jelenik majd meg a Chrome 55, amiben a Google lecseréli a Flasht HTML5-re. A váltással nem csak a biztonság javul, de kimutathatóan csökken a mobil eszközök energiafelhasználása, illetve felgyorsul a multimédiás tartalommal bíró weboldalak beöltése is. A Flash visszaszorítása ugyanakkor már szeptemberben elkezdődött: a múlt hónapban adták ki a Chrome 53-at, amiben a plug-in már blokkolásra került.