Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
28/08/2014
Según el aviso de Google se ha mejorado el aspecto de las fuentes en Windows con el soporte de DirectWrite, se ha renovado el gestor de contraseñas, se han incorporado nuevas aplicaciones y APIs así como numerosos cambios en la estabilidad y rendimiento.
La actualización incluye la corrección de 50 nuevas vulnerabilidades. Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. En esta ocasión, aunque se han solucionado 50 vulnerabilidades, solo se facilita información de nueve de ellas.
Una combinación de fallos en V8, IPC, sync, y extensiones podría permitir la ejecución remota de código fuera de la sandbox (CVE-2014-3176 y CVE-2014-3177). Vulnerabilidades por uso después de liberar memoria en SVG (CVE-2014-3168), en DOM (CVE-2014-3169) y en bindings (CVE-2014-3171).
Otras vulnerabilidades permiten la falsificación de cuadro de diálogo de permisos (CVE-2014-3170), unproblema relacionado con la depuración de extensiones (CVE-2014-3172) y fallos por memoria sin inicializar en WebGL (CVE-2014-3173) y en WebAudio (CVE-2014-3174).
También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2014-3175). Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 51.000 dólares en recompensas a los descubridores de los problemas.
Sistemas Afectados:Google Chrome versiones anteriores a 37.0.2062.94.
Referencias:CVE-2014-3168, CVE-2014-3169, CVE-2014-3170, CVE-2014-3171, CVE-2014-3172, CVE-2014-3173, CVE-2014-3174, CVE-2014-3175, CVE-2014-3176, CVE-2014-3177
Solución:Se publica la versión 37.0.2062.94, que está disponible a través de Chrome Update automáticamente en los equipos así configurados.
Notas:Google Chrome Stable Channel Update
Hispasec una-al-dia
US-CERT