lunes, 17 de marzo de 2014

Google Chrome corrige las vulnerabilidades del Pwn2Own

El equipo de seguridad de Chrome ha reaccionado rápido ante los problemas descubiertos en el Pwn2Own que comentamos ayer. El navegador se actualiza a la versión 33.0.1750.152 para Mac y Linux y la 33.0.1750.154 para Windows para corregir cuatro nuevas vulnerabilidades.

Las dos primeras vulnerabilidades fueron presentadas por VUPEN, y fueron premiadas con 100.000 dólares de recompensa. Consisten en un uso después de liberar memoria en enlaces Blink (con CVE-2014-1713) y una vulnerabilidad en el portapaples de Windows (con CVE-2014-1714), la combinación de ambas permite la ejecución de código fuera de la sandbox.

Por otra parte de un participante anónimo una corrupción de memoria en V8 (con CVE-2014-1705) y una vulnerabilidad de escalada de directorios (con CVE-2014-1715). Igualmente la combinación de ambas permite la ejecución de código fuera de la sandbox. Estos problemas fueron recompensados con 60.000 dólares.

Es destacable el comentario de Google en el boletín, reconociendo el éxito del Pwn2Own asegurando que realizarán cambios adicionales y medidas más duras en un futuro cercano. También señalan que "ambas presentaciones son obras de arte y merecen un mayor reconocimiento". También tienen previsto realizar informes técnicos sobre ambas presentaciones en el futuro.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados.

Más información:

Stable Channel Update
  
una-al-dia (16/03/2014) Los principales navegadores caen en el Pwn2Own 2014
  

Antonio Ropero
Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada