Google el jueves parcheó seis vulnerabilidades en Chrome, y como siempre, en silencio emitió actualizaciones del navegador.
En la actualización de Chrome 10.0.648.204 también se incluyen dos listas negras de certificados SSL, que puede estar relacionado con el robo, de la semana pasada de nueve certificados digitales de un distribuidor de Comodo.
Los seis errores fueron calificados de "alto", ocupando el segundo el mayor peligro calificándolo Google como el segundo en amenaza en su sistema de puntuación. Uno tipo de error de administración de memoria que puede ser explotado para inyectar código de ataque -, mientras que un segundo par se situaban por Google como "vieja puntero" vulnerabilidades, otro tipo de error de asignación de memoria.
Como práctica habitual de Google, la compañía ha bloqueado el acceso a los detalles técnicos de las vulnerabilidades parcheadas. Google usualmente abre las entradas meses más tarde, cuanod ya han sido parcheadas, para dar a los usuarios antes de tiempo a actualizar antes de que la información sea pública.
Google pagó $ 8.500 en primas a tres diferentes investigadores por la búsqueda y presentación de informes de las seis vulnerabilidades. En lo que va de este año, Google ha reducido los controles de recompensas por un total de 58.145 dólares.
El colaborador frecuente, Sergey Glazunov, se llevó a casa $ 7,000 por la presentación de informes de cuatro de los bugs parcheados jueves, llevando su total de recompensas de 2011 a la suma de $ 20.634. Glazunov se ha convertido en el más prolífico de los investigadores independientes que se especializan en la erradicación de defectos en Chrome.
Ayer fue la sexta vez que Google parchea su navegador este año. Google dijo que la actualización también añade soporte para el administrador de contraseñas del navegador en Linux, e incluye correcciones de rendimiento y estabilidad. De acuerdo con la lista de cambios de Chrome, también a la lista negra se añaden otros dos certificados SSL (Secure Socket Layer).
Las adiciones a la lista negra SSL se puede conectar con el robo de la semana pasada de varios certificados de un distribuidor de Comodo, un incidente que llevó a Comodo para revocar los certificados robados. Desde entonces, Google, Mozilla y Microsoft han publicado actualizaciones de cada uno - Google fue el primero fuera de lugar - para bloquear los certificados y advertir a los usuarios que trataron de conectarse a estos sitios falsos.
Comodo ha citado que apunta a Irán la evidencia circunstancial, tal vez el gobierno iraní, podría estar involucrado en el robo de certificados. Google no respondió de inmediato a las preguntas del viernes sobre si las últimas incorporaciones a la lista negra de Chrome se relacionaron con el robo de Comodo.
Chrome 10 puede ser descargado para Windows, Mac OS X y Linux desde el sitio Web de Google. Los usuarios que ya estan ejecutando el navegador, este se actualizará automáticamente.
Fuente: http://www.thehackernews.com/
0 comentarios:
Publicar un comentario