Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
28/08/2014
Google publica Chrome 37 i corregix 50 vulnerabilitats
Google seguix imparable amb Chrome, el seu ritme d’actualitzacions és realment notable. A mitjan juliol publicava Chrome 36, i poc més d’un mes després anuncia la nova versió 37 del navegador per a les plataformes Windows, Mac i Linux, que junt amb noves funcionalitats i millores, a més corregix 50 noves vulnerabilitats.Segons l’avís de Google s’ha millorat l’aspecte de les fonts en Windows amb el suport de DirectWrite, s’ha renovat el gestor de contrasenyes, s’han incorporat noves aplicacions i API, així com nombrosos canvis en l’estabilitat i rendiment.
L’actualització inclou la correcció de 50 noves vulnerabilitats. Com és habitual, Google només proporciona informació sobre els problemes solucionats reportats per investigadors externs o les considerades de particular interés. En esta ocasió, encara que s’han solucionat 50 vulnerabilitats, només es facilita informació de nou.
Una combinació de fallades en V8, IPC, sincronisme i extensions podria permetre l’execució remota de codi fora de la sandbox (CVE-2014-3176 i CVE-2014-3177). Vulnerabilitats per ús després d’alliberar memòria en SVG (CVE-2014-3168), en DOM (CVE-2014-3169) i en bindings (CVE-2014-3171).
Altres vulnerabilitats permeten la falsificació de quadro de diàleg de permisos (CVE-2014-3170), un problema relacionat amb la depuració d’extensions (CVE-2014-3172) i fallades per memòria sense inicialitzar en WebGL (CVE-2014-3173) i en WebAudio (CVE-2014-3174).
També del treball de seguretat intern, diverses correccions procedents d’auditoria interna, proves automàtiques i altres iniciatives (CVE-2014-3175). Segons la política de la companyia les vulnerabilitats anunciades han suposat un total de 51.000 dòlars en recompenses als descobridors dels problemes.
Sistemes Afectats:
Google Chrome versions anteriors a 37.0.2062.94.
Referències:CVE-2014-3168, CVE-2014-3169, CVE-2014-3170, CVE-2014-3171, CVE-2014-3172, CVE-2014-3173, CVE-2014-3174, CVE-2014-3175, CVE-2014-3176, CVE-2014-3177
Solució:Es publica la versió 37.0.2062.94, que està disponible a través de Chrome Update automàticament en els equips així configurats.
Notes:Google Chrome Stable Channel Update
Hispasec una-al-dia
US-CERT