El equipo de
seguridad de Chrome ha reaccionado rápido ante los problemas descubiertos en el
Pwn2Own que comentamos ayer. El navegador se actualiza a la versión
33.0.1750.152 para Mac y Linux y la 33.0.1750.154 para Windows para corregir
cuatro nuevas vulnerabilidades.
Detalle
e Impacto de las vulnerabilidades
- Las dos primeras vulnerabilidades fueron presentadas por VUPEN, y fueron premiadas con 100.000 dólares de recompensa. Consisten en un uso después de liberar memoria en enlaces Blink (con CVE-2014-1713) y una vulnerabilidad en el portapaples de Windows (con CVE-2014-1714), la combinación de ambas permite la ejecución de código fuera de la sandbox.
- Por otra parte de un participante anónimo una corrupción de memoria en V8 (con CVE-2014-1705) y una vulnerabilidad de escalada de directorios (con CVE-2014-1715). Igualmente la combinación de ambas permite la ejecución de código fuera de la sandbox. Estos problemas fueron recompensados con 60.000 dólares.
Recomendación
- Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados.
- Stable Channel Update http://googlechromereleases.blogspot.com.es/2014/03/stable-channel-update_14.html
- una-al-dia (16/03/2014) Los principales navegadores caen en el Pwn2Own 2014 http://unaaldia.hispasec.com/2014/03/los-principales-navegadores-caen-en-el.html