Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

20/02/2012

Actualització de seguretat de Google Chrome

Google ha publicat una nova versió (17.0.963.56) destinada a corregir tretze vulnerabilitats per a les plataformes Microsoft Windows, Macintosh i Linux del seu navegador web Chrome.

Amb este nou repartiment econòmic de recompenses, Google acumula més de 400.000 dòlars en premis entre els investigadors que troben fallades de seguretat en les seues aplicacions, tots repartits en un any.

Les vulnerabilitats corregides en esta nova versió són les següents:

Amb gravetat alta:

• CVE-2011-3015: Error de desbordament sencer a través dels còdecs PDF, descobert per l’equip de seguretat de Google Chrome.

• CVE-2011-3017: Error d’"use-after-free" en processar les bases de dades, descobert per Miaubiz i recompensat amb 1.000 dòlars.

• CVE-2011-3018: Error de desbordament d’heap en el renderitzat de rutes, descobert per Aki Helin i recompensat amb 1.000 dòlars.

• CVE-2011-3019: Error de desbordament d’heap al processar fitxers MKV, descobert per l’equip de seguretat de Google Chrome i el nostre antic company Mateusz Jurczyk.

• CVE-2011-3021: Error "use-after-free" en la càrrega de subframes reportat per Arthur Gerkis i recompensat amb 1.000 dòlars.

• CVE-2011-3026: Error de desbordament d’entorn en libpng, descobert per Jüri Aedia i recompensat amb 1.337 dòlars.

Amb gravetat mitjana:

• CVE-2011-3016: error de "read-after-free" en el comptador de nodes, descobert per Miaubiz i recompensat amb 500 dòlars.

• CVE-2011-3020: Error de validació en el client natiu, descobert per Nick Bray.

• CVE-2011-3022: Error d’ús en el script de traducció per a http, descobert per Jorge Obes de l’equip de seguretat de Google.

• CVE-2011-3023: Error d’"use-after-free" a l’emprar, arrastrar i soltar el reportat per pa_kt i recompensat amb 500 dòlars.

• CVE-2011-3025: error de lectura fora de límits apariats d’h.264, descobert per Slawomir Blazek i recompensat amb 500 dòlars.

Amb prioritat baixa:

• CVE-2011-3024: Denegació de servici al processar un certificat x509 buit, reportat per chrometot.

Sistemes Afectats:

Google Chrome anterior a 17.0.963.56

Referències:

CVE-2011-3015, CVE-2011-3016, CVE-2011-3017, CVE-2011-3018, CVE-2011-3019, CVE-2011-3020,CVE-2011-3021, CVE-2011-3022, CVE-2011-3023, CVE-2011-3024, CVE-2011-3025, CVE-2011-3026

Solució:

Junt amb esta nova versió de Google Chrome s’actualitza també Flash Player, amb el qual es corregirien les fallades recentment descobertes.

Notes:

Chrome Stable Update
http://googlechromereleases.blogspot.com/2012/02/chrome-stable-update.html
Celebrating one year of web vulnerability research
http://googleonlinesecurity.blogspot.com/2012/02/celebrating-one-year-of-web.html

CSIRT-CV