Gestern veröffentlichte Google die 39 Version ihrer Browser Chrome, Festsetzung 42 Schwachstellen bekannt, ganz zu entfernen Unterstützung für die berüchtigte SSL 3.0 Zertifikat, die Gegenstand einer war POODLE Malware-Angriff letzten Monat.
Der Angriff wurde von Google-Forscher im Oktober entdeckt, kurz nach, dass das Unternehmen angekündigt, dass sie ihren Browser werden ein Upgrade, so ist es nicht erlaubt, Servern, um zum älteren SSL fallen 3.0 Zertifikat. Was die Hacker wurden unter Verwendung wurde die neueren SSL / TLS diejenigen Server zu zwingen, anstatt zurück zu dieser Version fällt mit, Entschlüsseln Verkehr um nach dem Senden zahlreichen Anfragen, um es. Google planen, die älter Zertifikat vollständig zu entfernen in den folgenden Monaten.
"Ein wenig weiter auf der ganzen Linie, vielleicht in etwa drei Monaten, wir hoffen, SSLv3 vollständig deaktivieren. Einen Server, der richtig verhandelt SSLv3 noch verwenden - Die Veränderungen, die ich gerade in Chrome landete nur Fallback deaktivieren, um SSLv3. Deaktivieren SSLv3 vollständig noch mehr als nur das Deaktivieren des Fallback aber SSLv3 ist nun komplett mit CBC-Modus Chiffren gebrochen und die einzige andere Möglichkeit ist RC4 brechen, Das ist kaum, dass attraktive. Alle Server in Abhängigkeit von SSLv3 sind somit darauf aufmerksam, dass sie jetzt ansprechen, dass brauchen. ', schrieb Google-Forscher im vergangenen Monat.
Unter einige der Patches Google sind Befestigungs gibt mehrere Hochrisiko-Schwachstellen, Umsetzung Puffer- und Integerüberläufe, use-after-free-Patches, etc. nach dem Forscher merken, sie alle davon kommen. Das Unternehmen legt Preise für insgesamt $ 25,000 von denen, die diese Flags erhöhen, Bezahlung $16,500 Insgesamt mehr zu denen, die festgestellten Fehler bei der Entwicklung.
Hier ist, Die ganze Liste von Forschern, ihre Preise und das Problem, das sie auf erhöhten eine Flagge:
→ Preis $500][Flicken 389734] Hohe CVE-2014-7899: Adressleisten-Spoofing. Credits zum Eli Grau.
[Preis $1500][Flicken 406868] Hohe CVE-2014-7900: Verwenden-after-free in pdfium. Credits zum Atte Kettunen von OUSPG.
[Preis $1000][Flicken 413375] Hohe CVE-2014-7901: Integer-Überlauf in pdfium. Credits zum cloudfuzzer.
[Preis $1000][Flicken 414504] Hohe CVE-2014-7902: Verwenden-after-free in pdfium. Credits zum cloudfuzzer.
[Preis $3000][Flicken 414525] Hohe CVE-2014-7903: Pufferüberlauf in pdfium. Credits zum cloudfuzzer.