Cabecera-v2-web.jpg

Google corrige 62 errores de seguridad con la liberación de Chrome 40

Google anunció el miércoles el lanzamiento de Chrome 40 para Windows, Mac OS y Linux. La última actualización para el popular navegador Web (40.0.2214.91) incluye un total de 62 parches de seguridad.

De acuerdo con el gigante de las búsquedas, los investigadores externos reportaron 26 vulnerabilidades, 17 de los cuales son temas de alta gravedad.

El investigador que usa el apodo en lí­nea yangdingning se ha visto recompensado con un total de $ 9.000 para la exposición de dos problemas de corrupción de memoria en la ICU (CVE-2014 a 7.923 y CVE-2014-7926). Christian Holler recibió un total de $ 7.000 por un par de errores de corrupción de memoria que afectan a V8 (CVE- 2014-7927 y CVE-2014-7928).

Cloudfuzzer recibió un total de $ 12.000 por una corrupción de memoria en V8 (CVE-2014 a 7931), tres use-after-free fallas en DOM (CVE-2014-7930, CVE-2014 -7929 y CVE-2014-7934) y dos de gravedad media que afectan PDFium.

Atte Kettunen de OUSPG reportó cinco vulnerabilidades, tres de los cuales son altos errores de gravedad. Kettunen recibió $ 6,500 por la identificación de estos defectos.

Otros temas de alta gravedad fueron reportados por mark.buer (uso después de liberación en audio web), aohelin (use-after-free en FFmpeg), Khalil Zhani , Christoph Diehl , y Takeshi Terada (del mismo origen de la alimentación directa en V8).

Los investigadores miaubiz , fuzztercluck y jiayaoqijia fueron acreditados por Google para informar diversas vulnerabilidades de gravedad media.

Kettunen, Holler, cloudfuzzer y Zhani recibieron un adicional de $ 35.000 de Google para trabajar con la empresa durante el ciclo de desarrollo para prevenir vulnerabilidades de alcanzar el último canal estable de Chrome.

Los investigadores que han contribuido a hacer de Chrome 40 seguro fueron recompensados con un total de $ 88.500.

Google prometió aumentar las recompensas de vulnerabilidad a finales de septiembre y la empresa parece haber cumplido su promesa. El miércoles, un experto informó conseguir una recompensa $ 5000 para una vulnerabilidad reflejado cross-site scripting (XSS) en la consola de administración de Google Apps.

También vale la pena señalar que con el lanzamiento de Chrome 40, Google tiene desactivado SSL 3.0, el protocolo encontrado vulnerable en ataques POODLE. El repliegue de SSL 3.0  fue desactivado en Chrome 39 y ahora la compañí­a ha deshabilitado por completo el soporte para el antiguo protocolo.

Fuente: securityweek.com

pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11