Cabecera-v2-web.jpg

Google publica Chrome 48 y pone fin al soporte RC4


vulnerability-chrome.jpg


Hace algunas horas Google anunciaba la llegada de la versión 48 de Google Chrome a la rama estable. De acuerdo a Venturebeat, el popular navegador añadió en su última versión botones para notificaciones personalizadas y el retiro del soporte al cifrado RC4 para conexión HTTPS, a raí­z de los problemas de seguridad que este último provocaba.

Esta versión se ha centrado, una vez más, en solucionar problemas de rendimiento y fallos de seguridad en el navegador, ya que entre las principales novedades que se incluyen solo cabe destacar la posibilidad de interactuar con las notificaciones del navegador en Android y la eliminación definitiva del protocolo de cifrado RC4.

Otras de las caracterí­sticas (destinadas mayormente a desarrolladores y programadores) incluidas en esta nueva versión son:

  • Nuevo panel de seguridad DevTools para desarrolladores.
  • El protocolo WebRTC ahora es compatible con el codec de ví­deo VP9 ocupando la mitad del ancho de banda que otros codecs.
  • Numerosos cambios en la programación HTML, CSS y JavaScript.

En cuanto a la seguridad de Google Chrome 48, esta actualización soluciona un total de 37 fallos de seguridad, entre los que podemos destacar:

  • CVE-2016-1612. Peligrosidad alta. Un problema de cast en V8.
  • CVE-2016-1613. Peligrosidad alta. Un fallo que permite el uso de recursos tras la finalización de PDFium.
  • CVE-2016-1614. Peligrosidad media. Fuga de información causada por Blink.
  • CVE-2016-1615. Peligrosidad media. Un fallo de origen en la omnibarra de Chrome.
  • CVE-2016-1616. Peligrosidad media. Un fallo de seguridad que permití­a suplantar direcciones URL.
  • CVE-2016-1617. Peligrosidad media. Permití­a el rastreo a través de HSTS y CSP.
  • CVE-2016-1618. Peligrosidad media. Un fallo que generaba números aleatorios débiles en Blink.
  • CVE-2016-1619. Peligrosidad media. Un fallo que permití­a acceder a los datos más allá de los lí­mites de la memoria en PDFium.

Google cuenta con un programa Bug Bounty donde ofrece recompensas a los investigadores de seguridad que detecten y reporten fallos en su software. Solo con los fallos anteriores, el lanzamiento de esta nueva versión y la solución de los fallos ha supuesto a la compañí­a 10.500 dólares.


Fuente: blog.segu-info.com.ar


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11