Una actualización de Chrome soluciona serios bugs

Google ha actualizado el navegador Chrome a la versión 43.0.2357.130 para Windows, Mac y Linux. La actualización de Chrome corrigió al menos dos bugs de alta gravedad, como se puede ver en la lista parcial publicada en el blog de la compañía.

Sin embargo, los detalles de las fallas y sus implicancias son escasos, ya que Google deja claro en su blog: “El acceso a los detalles de los errores y sus enlaces se puede mantener restringido hasta que la mayoría de los usuarios se actualicen con una solución. También vamos a mantener restricciones si el bug existe en una biblioteca de terceros de la que otros proyectos dependen de manera similar, pero aún no se ha solucionado”.

Un investigador anónimo recibió una recompensa de 5.000 dólares (4.440 euros) por informar de un grave error de validación de esquema en el WebUI, ahora corregido y denominado como CVE-2015-1266.

De acuerdo con un informe en Softpedia, otra solución que se dio a conocer tiene que ver con un problema revelado por el investigador polaco Mariusz Mlynski en la competición de hacking Pwn2Own de este año. Mlynski demostró un ataque que explota una vulnerabilidad cross-origin en Mozilla Firefox para lograr una escalada de privilegios en el navegador en menos de un segundo. El bug de Chrome es ahora conocido como CVE-2015-1268, y consiste en una desviación cross-origin en el motor de renderizado Blink del navegador.

HP, patrocinador del evento, describió el hallazgo en Pwn2Own como un trabajo estelar: “Se acercó a Mozilla Firefox y se lució a través de una vulnerabilidad cross-origin seguida de una escalada de privilegios en el navegador -todo dentro de 0,542 segundos. Esto le permitió ejecutar un fallo lógico para escalar a SYSTEM en Windows y llevarse a casa 30.000 USD por el bug de Firefox y un bono adicional de 25.000 por la escalada de privilegios”.

Google anunció recientemente que pagaría recompensas por hallar bugs no comprobados o errores parciales. Un nuevo nivel “experimental” se ha añadido al programa de recompensas de seguridad, con bonos de hasta 3.133,70 disponibles para investigadores que se dediquen a investigar determinados servicios de Google.

Autor , ESET

Síguenos