Google
ha publicado la versión 19.0.1084.52 de la rama estable de su navegador web
Chrome para todas las plataformas (Windows, Mac, Linux y Chrome Frame). Esta
nueva versión corrige trece vulnerabilidades en total: Dos de importancia
media, nueve de alta y otras dos de importancia crítica.
Importancia media
- CVE-2011-3104: Localizada en el
motor gráfico Skia, podría provocar una denegación de servicio por lectura
fuera de límites. Tiene un CVSS base de 5. Se da crédito a Inferno del Google
Chrome Security Team.
- CVE-2011-3111: Un fallo en la lectura en el motor Javascript Google V8 podría ser aprovechado para provocar una denegación de servicio. Tiene un CVSS base de 5. Esta vulnerabilidad se le reconoce a Christian Holler, que consigue 500 dólares por el Chrome Vulnerability Rewards Program.
Importancia alta
- CVE-2011-3103: Causada por la
recolección incorrecta de basura en el motor Javascript Google V8, podría ser
aprovechada para provocar el bloqueo de la aplicación o potencialmente otros
impactos no especificados. CVSS base de 7,5. Acreditada a Brett Wilson de la comunidad
de desarroladores de Chromium.
- CVE-2011-3105: Un error en el
manejo del pseudo-elemento :first-letter en las hojas de estilo en cascada
(CSS) podría provocar un error use-after-free. Podría ser aprovechado para
provocar una denegación de servicio. Tiene una punuación CVSS base de 7,5. Se
atribuye a miaubiz, a quien además se premia con 1.000 dólares por el Chrome
Vulnerability Rewards Program.
- CVE-2011-3107: Un error en la
forma en la que se implementan las referencias de JavaScript para los plugins
podría hacer que la aplicación terminase. Tiene una puntuación CVSS de 7,5.
Acreditada a Dharani Govindan de la comunidad de desarrolladores de Chromium.
- CVE-2011-3109: Vulnerabilidad
que sólo afecta a Linux. Un fallo de invocación incorrecta de una variable sin
especificar podría se usada para provocar que el prorama termine o
potencialmente otros impactos al disparar un error en la interfaz de usuario.
Su puntuación CVSS base es de 7,5. Se acredita a Micha Bartholomé, a quien se
asignan 1.000 dólares por el Chrome Vulnerability Rewards Program.
- CVE-2011-3110,CVE-2011-3112 y
CVE-2011-3113: Descubiertas por nuestros antiguos compañeros MateuszJurczyk con
contribuciones de Gynvael Coldwind, ambos del Google Security Team. Con una
puntuación CVSS base de 7,5, 5 y 7,5 respectivamente, todas tratan fallos en la
funcionalidad PDF de Google Chrome que pueden provocar una denegación de
servicio parcial o potencialmente otros impactos.
- CVE-2011-3114: Se podrían dar
múltiples fallos de desbordamiento de memoria intermedia al usar las
funcionalidades PDF que podrían usarse para provocar una denegación de servicio
o potencialmente en otros impactos. Tiene una puntuación base CVSS de 7,5. Se
acredita a ascarybeasts del Google Chrome Security Team.
- CVE-2011-3115: Encontrada en el motor Javascript Google V8, podría ser usada por un atacante para provocar una denegación de servicio o potencialmente en otros impactos a través de vectores que activen el disparador 'type corruption'. CVSS base de 7.5 . Acreditada a Christian Holler.
Importacia crítica
- CVE-2011-3106: Un error en la
forma en la que se usa SSL en la implementación de los WebSockets podría
provocar una corrupción en la memoria del sistema. Podría ser aprovechada para
ejecutar código arbitrario. Puntuación CVSS base de 10. Acreditada a Dharani
Govindan de la comunidad de desarrolladores de Chromium.
- CVE-2011-3108: Un error use-after-free en la caché del navegador podría ser aprovechado para ejecutar código arbitrario. Tiene una puntuación CVSS de 10 y se acredita efbiaiinzinz, que además es recompensado con 1.337 dólares por el Chrome Vulnerability Rewards Program.
En total, se han repartido 4.837
dólares a través del Chrome Vulnerability Rewards Program.
Más información:
Stable Channel Update
Francisco López
No hay comentarios:
Publicar un comentario