12 de octubre de 2014

GOOGLE. Lanza Chrome 38 y corrige 159 vulnerabilidades

Google sigue con su ritmo de actualizaciones de Chrome, prácticamente una nueva versión cada mes. A finales de agosto publicaba Chrome 37, y poco más de un mes después anuncia la nueva versión 38 del navegador. Se publica la versión 38.0.2125.101 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 159 nuevas vulnerabilidades.
 Según el aviso de Google se han incorporado nuevas aplicaciones y APIs así como numerosos cambios en la estabilidad y rendimiento.
 La actualización incluye la corrección de 159 nuevas vulnerabilidades, incluyendo 113 correcciones menores encontradas con MemorySanitizer. Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. En esta ocasión, aunque se han solucionado 159 vulnerabilidades, solo se facilita información de 13 de ellas.
 Una combinación de fallos en V8 e IPC podría permitir la ejecución remota de código fuera de la sandbox (CVE-2014-3188). También se solucionan lecturas fuera de límites en PDFium (CVE-2014-3189 y CVE-2014-3198); vulnerabilidades por uso después de liberar memoria en Events (CVE-2014-3190), Rendering (CVE-2014-3191), DOM (CVE-2014-3192) y Web Workers (CVE-2014-3194).
 Otras vulnerabilidades están relacionadas con fugas de información en V8 (CVE-2014-3195) y XSS Auditor (CVE-2014-3197). Un salto de permisos de Sandbox de Windows (CVE-2014-3196), una confusión de tipos en Session Management (CVE-2014-3193) y con V8 (CVE-2014-3199).
 También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2014-3200). Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 73.633,7 dólares en recompensas a los descubridores de los problemas.
 Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados.
Más información:
Fuente: Hispasec