I går Google frigivet 39 version af deres Chrome-browseren, fastsættelse 42 sårbarheder kendes helt fjerne støtten til den berygtede SSL 3.0 certifikat, der var genstand for en POODLE malware angreb sidste måned.
Angrebet blev opdaget af Google forskere i oktober, kort efter at selskabet meddelte, at de ville opgradere deres browser, så det tillader ikke servere for at falde tilbage til den ældre SSL 3.0 certifikat. Hvad hackere brugte tvang servere til at falde tilbage til denne version i stedet for at bruge de nyere SSL / TLS dem, dekryptering trafik ved at sende talrige anmodninger til det efter. Google planlægger at helt at fjerne den ældre certifikat i de følgende måneder.
»Lidt længere nede på linjen, måske i omkring tre måneder, vi håber at deaktivere SSLv3 fuldstændigt. De ændringer, jeg har lige landet i Chrome kun deaktivere fallback til SSLv3 - en server, der korrekt forhandler SSLv3 kan stadig bruge det. Deaktivering SSLv3 helt vil bryde endnu mere end bare at deaktivere fallback men SSLv3 er nu helt brudt med CBC-mode ciphers og den eneste anden mulighed er RC4, der er næppe det attraktive. Eventuelle servere afhængig SSLv3 er således på varsel, at de har brug for til at løse det nu. ", skrev Google forsker sidste måned.
Blandt nogle af de patches Google er fastsættelse er flere høj risiko sårbarheder, gennemførelse buffer og heltalsoverløb, use-after-free patches, etc. som alle kommer efter forskere bemærke dem. Selskabet betalte præmier for i alt $ 25,000 af dem, der rejser disse flag, betalende $16,500 samlet mere til dem, der findes fejl og samtidig udvikle.
Her er hele listen forskere, deres præmier og det problem, de rejste et flag på:
→ Prize $500][Patch 389734] Høj CVE-2014-7899: Adresselinjen spoofing. Tak til Eli Grey.
[Prize $1500][Patch 406868] Høj CVE-2014-7900: Use-after-free i pdfium. Tak til Atte Kettunen fra OUSPG.
[Prize $1000][Patch 413375] Høj CVE-2014-7901: Integer overflow in pdfium. Tak til cloudfuzzer.
[Prize $1000][Patch 414504] Høj CVE-2014-7902: Use-after-free i pdfium. Tak til cloudfuzzer.
[Prize $3000][Patch 414525] Høj CVE-2014-7903: Buffer overflow i pdfium. Tak til cloudfuzzer.
