El
equipo de seguridad de Chrome ha reaccionado rápido ante los problemas descubiertos
en el
Pwn2Own que comentamos ayer. El navegador se actualiza a la
versión 33.0.1750.152 para Mac y Linux y la 33.0.1750.154 para Windows para corregir cuatro nuevas
vulnerabilidades.
Las dos primeras vulnerabilidades
fueron presentadas por VUPEN, y fueron premiadas con 100.000 dólares de
recompensa. Consisten en un uso después de liberar memoria en enlaces Blink (con
CVE-2014-1713) y una vulnerabilidad en el portapaples de Windows (con CVE-2014-1714),
la combinación de ambas permite la ejecución de código fuera de la sandbox.
Por otra parte de un participante
anónimo una corrupción de memoria en V8 (con CVE-2014-1705) y una vulnerabilidad
de escalada de directorios (con CVE-2014-1715). Igualmente la combinación de
ambas permite la ejecución de código fuera de la sandbox. Estos problemas
fueron recompensados con 60.000 dólares.
Es destacable el comentario de
Google en el boletín, reconociendo el éxito del Pwn2Own asegurando que
realizarán cambios adicionales y medidas más duras en un futuro cercano. También
señalan que "ambas presentaciones son obras de arte y merecen un mayor
reconocimiento". También tienen previsto realizar informes técnicos
sobre ambas presentaciones en el futuro.
Esta actualización está
disponible a través de Chrome Update automáticamente en los equipos así
configurados.
Más información:
Stable Channel Update
una-al-dia (16/03/2014) Los
principales navegadores caen en el Pwn2Own 2014
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario