Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
03/10/2013
Google Chrome: Múltiples vulnerabilidades
Ayer se lanzó la última versión del navegador web de Google, Chrome 30, que incluye múltiples parches de seguridad.Múltiples vulnerabilidades han sido reportadas en Google Chrome, algunas de ellas tienen un impacto desconocido y otras podrían ser aprovechadas por un usuario malintencionado para dirigir un ataque y comprometer el sistema de otros usuarios.
Google ha anunciado la promoción de su navegador Chrome 30 al canal estable para todas las plataformas (Windows, Mac, Linux y Chrome Frame). Mes y medio después de la publicación de la versión 29 de Chrome, se distribuye esta nueva versión 30.0.1599.66 que junto con nuevas funcionalidades y mejoras, además viene a corregir 50 nuevas vulnerabilidades.
Según el aviso de Google se ha mejorado una búsqueda por imagen mucho más sencilla, muchas nuevas aplicaciones y extensiones API así como numerosos cambios en la estabilidad y rendimiento.
La actualización incluye la corrección de 50 nuevas vulnerabilidades. Sin embargo no se han facilitado detalles de todas ellas, hasta que una mayoría de los usuarios hayan actualizado su navegador. Google proporciona información sobre los problemas solucionados reportados por investigadores externos.
Las vulnerabilidades de gravedad alta están relacionadas con el uso de punteros después de liberar en la representación inline-block, en XSLT, en PPAPI, en el tratamiento de documentos XML, en DOM, en el cargador de recursos, en el dialogo de elección de color de Windows y en el elemento template. Una corrupción de memoria en V8 y una falsificación de la barra de direcciones relacionada con el código de estado "204 No Content".
Las vulnerabilidades de impacto medio afectan a Web Audio y, una lectura fuera de límites en el análisis de URL.
Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados. Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 19.000 dólares en recompensas a los descubridores de los problemas.
Sistemas Afectados: Referencias:CVE-2013-2906, CVE-2013-2907, CVE-2013-2908, CVE-2013-2909, CVE-2013-2910, CVE-2013-2911, CVE-2013-2912, CVE-2013-2913, CVE-2013-2914, CVE-2013-2915, CVE-2013-2916, CVE-2013-2917, CVE-2013-2918, CVE-2013-2919, CVE-2013-2920, CVE-2013-2921, CVE-2013-2922, CVE-2013-2923, CVE-2013-2924
Solución:Actualizar a la versión 30.0.1599.66
Notas:Hispasec
Canal de actualizaciones estables:
http://googlechromereleases.blogspot.ro/2013/10/stable-channel-update.html