Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

29/05/2012

Nova versió de Google Chrome corregix diverses vulnerabilitats

Google ha publicat la versió 19.0.1084.52 de la branca estable del seu navegador web Chrome per a totes les plataformes (Windows, Mac, Linux i Chrome Frame). Esta nova versió corregix tretze vulnerabilitats en total: dos d’importància mitjana, nou d’alta i altres dos d’importància crítica.

Google ha publicat un nou comunicat sobre les vulnerabilitats del seu navegador Chrome corregides en l’última actualització. En total, la companyia ha acabat amb 13 vulnerabilitats, dos de les quals eren crítiques. Google ha destacat els responsables de la identificació dels problemes de seguretat i donar-los les seues compensacions.

Importància mitjana

• CVE-2011-3104: Localitzada en el motor gràfic Skia, podria provocar una denegació de servei per lectura fora de límits. Té un CVSS base de 5. Es dóna el crèdit a Infernal del Google Chrome Security Team.

• CVE-2011-3111: Un error en la lectura del motor Javascript Google V8 podria ser aprofitat per a provocar una denegació de servei. Té un CVSS base de 5. Esta vulnerabilitat li és reconeguda a Christian Holler, qui obté 500 dòlars pel Chrome Vulnerability Rewards Program.se

Importància alta

• CVE-2011-3103: Causada per la recol·lecció incorrecta de fem en el motor Javascript Google V8, podria ser aprofitada per a provocar el bloqueig de l’aplicació o potencialment altres impactes no especificats. CVSS base de 7,5. Acreditada a Brett Wilson de la comunitat de desenrotlladors de Chromium.

• CVE-2011-3105: Un error en el maneig del pseudoelement: first-letter en els fulls d’estil en cascada (CSS) podria provocar un error use-after-free. Podria ser aprofitat per a provocar una denegació de servei. Té una puntuació CVSS base de 7,5. S’atribuïx a Miaubiz, a qui se’l premia amb 1.000 dòlars pel Chrome Vulnerability Rewards Program.

• CVE-2011-3107: Un error en la forma en què s’implementen les referències de JavaScript per als plugins podria fer que l’aplicació acabara. Té una puntuació CVSS de 7,5. Acreditat a Dharani Govindan de la comunitat de desenrotlladors de Chromium.

• CVE-2011-3109: Vulnerabilitat que només afecta Linux. Una fallada d’invocació incorrecta d’una variable sense especificar podria ser usada per a provocar que la probranca acabe o, potencialment, altres impactes al disparar un error en la interfície de l'usuari. La seua puntuació CVSS base és de 7,5. S’acredita a Mixa Bartholomé, a qui s’assignen 1.000 dòlars pel Chrome Vulnerability Rewards Program.

• CVE-2011-3110,CVE-2011-3112 i CVE-2011-3113: Descobertes pels nostres antics companys Mateusz Jurczyk amb contribucions de Gynvael Coldwind, ambdós del Google Security Team. Amb una puntuació CVSS base de 7,5, 5 i 7,5 respectivament, totes tracten les fallades en la funcionalitat PDF de Google Chrome que poden provocar una denegació de servei parcial o potencialment altres impactes.

• CVE-2011-3114: Es podrien donar múltiples fallades de desbordament de la memòria intermèdia a l’usar les funcionalitats PDF que podrien usar-se per a provocar una denegació del servei o potencialment en altres impactes. Té una puntuació base CVSS de 7,5. S’acredita a Ascarybeasts del Google Chrome Security Team.

• CVE-2011-3115: trobada en el motor Javascript Google V8, podria ser usada per un atacant per a provocar una denegació del servei o potencialment en altres impactes a través de vectors que activen el disparador 'type corruption'. CVSS base de 7.5 . Acreditada a Christian Holler.

Importacia crítica

• CVE-2011-3106: Un error en la forma en què s’usa SSL en la implementació dels WebSockets podria provocar una corrupció en la memòria del sistema. Podria ser aprofitada per a executar un codi arbitrari. Puntuació CVSS base de 10. Acreditada a Dharani Govindan de la comunitat de desenrotlladors de Chromium.

• CVE-2011-3108: Un error use-after-free en la memòria cau del navegador podria ser aprofitat per a executar un codi arbitrari. Té una puntuació CVSS de 10 i s’acredita Afbiaiinzinz, qui és recompensat amb 1.337 dòlars pel Chrome Vulnerability Rewards Program.

Sistemes Afectats:

Google Chrome 19.x

Referències:

CVE-2011-3103, CVE-2011-3104, CVE-2011-3105, CVE-2011-3106, CVE-2011-3107, CVE-2011-3108, CVE-2011-3109, CVE-2011-3110, CVE-2011-3111, CVE-2011-3112, CVE-2011-3113, CVE-2011-3114, CVE-2011-3115

Solució:

Actualitzeu a la versió 19.0.1084.52

Notes:

Google Chrome releases
Hispasec
Secunia

CSIRT-CV