sábado, 24 de enero de 2015

Google publica Chrome 40 y corrige 62 vulnerabilidades

Google anuncia una nueva versión de su navegador Google Chrome 40. Se publica la versión 40.0.2214.91 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 62 nuevas vulnerabilidades.

Según el aviso de Google se ha aztualizado la información de diálogo para Chrome app en Windows y Linux un nuevo reloj delante/detrás de los mensajes de error.

La actualización incluye la corrección de 62 nuevas vulnerabilidades. Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. En esta ocasión, aunque se han solucionado 62 vulnerabilidades, solo se facilita información de 26 de ellas (17 de gravedad alta y las 9 restantes de importancia media).

Las vulnerabilidades descritas están relacionadas con corrupción de memoria en ICU, V8 y en Fuentes. También se solucionan vulnerabilidades por uso después de liberar memoria en IndexDB, WebAudio, DOM, FFmpeg, Speech y Views. Una vulnerabilidad de salto de la política de mismo origen en V8. Por último otras vulnerabilidades están relacionadas con valores sin inicializar (en ICU y Fuentes) y lecturas fueras de límites (en la interfaz de usuario, Skia, PDFium y Fuentes). Los CVE asignados van del CVE-2014-7923 al CVE-2014-7948.

También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2015-1205). Así como múltiples vulnerabilidades en V8 en la rama de 3.30 (actualmente 3.30.33.15).

Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 88.500 dólares en recompensas a los descubridores de los problemas.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados.

Más información:

Stable Channel Update




Antonio Ropero

Twitter: @aropero

viernes, 23 de enero de 2015

Google anuncia vulnerabilidades en OS X

El equipo de seguridad Project Zero de Google ha anunciado tres nuevas vulnerabilidades de elevación de privilegios en los sistemas OS X de Apple.

Después de la polémica por sus anuncios de problemas en los sistemas Windows, el equipo mantiene su política de anunciar automáticamente todos los detalles de las vulnerabilidades 90 días después de su comunicación a la compañía responsable. En esta ocasión le ha tocado a Apple y sus sistemas operativos OS X.

Los tres problemas requieren un cierto nivel de acceso, pero podrían permitir a un atacante local elevar sus privilegios en los sistemas afectados. El primer fallo reside en el componente networkd (com.apple.networkd), un demonio del sistema que implementa el servicio XPC, debido a que no se comprueban las entradas de forma adecuada. El investigador confirma que solo se ha probado en 10.9.5 pero parece ser que OS X Yosemite introduce mitigaciones que evitan la vulnerabilidad.

Los dos problemas restantes afectan a IOKit, el primero por una desreferencia de puntero nulo mientras que el segundo requiere la conexión de un dispositivo Bluetooth de debe a una corrupción de memoria en IOBluetoothDevice.

Se han publicado pruebas de concepto de los tres problemas, que no cuentan con ninguna actualización de Apple. ¿Son suficientes 90 días para desarrollar, probar y validar una actualización para una vulnerabilidad?

Los 90 días es el tiempo que da el equipo Project Zero de Google para ofrecer todos los detalles de una vulnerabilidad tras su aviso al fabricante. Zero Day Initiative actualmente marca su límite en 120 días. Según nuestro último informe sobre el tiempo que tardan los fabricantes en solucionar una vulnerabilidad (de 2011) la media total se situaba en seis meses.

Más información:

OS X networkd "effective_audit_token" XPC type confusion sandbox escape (with exploit)

OS X IOKit kernel code execution due to NULL pointer dereference in IntelAccelerator

OS X IOKit kernel memory corruption due to bad bzero in IOBluetoothDevice

una-al-dia (05/01/2015) Elevación de privilegios en Windows 8.1

una-al-dia (21/09/2009) Estudio comparativo: ¿Cuánto tardan los grandes fabricantes de software en arreglar una vulnerabilidad?

una-al-dia (03/08/2011) Estudio: Mozilla es el fabricante que menos tarda en resolver vulnerabilidades. RealNetworks, el que más. La media global son 6 meses

Informe ¿Cuánto tardan los fabricantes de software enarreglar una vulnerabilidad?



Antonio Ropero
Twitter: @aropero