Google acaba de publicar parches para CVE-2017-5070 y 29 otras fallas en Chrome en la última versión estable del navegador, Cromo 59.0.3071.86. Google paga $23,500 a investigadores externos para sus hallazgos.
Además de los defectos Chrome, una vulnerabilidad de tipo confusión en V8 (motor JavaScript de código abierto para Chrome) También se fijó, y el investigador que encontró se puso $7,500.
Cromo 59.0.3071.86: CVE-2017-5070 y otras vulnerabilidades fijos
Google ha corregido tres fallas de suplantación de direcciones en la última versión de su navegador y varias más desde septiembre pasado.. Los atacantes han utilizado estas fallas para engañar a los usuarios a visitar sitios web sospechosos, aunque sean envasados con malware.
Google era bastante completo en la liberación de los detalles que rodean las vulnerabilidades que se agruparon en la escuela, medio, y grupos de baja severidad:
[$7500] [722756] Alta CVE-2017-5070: Tipo confusión en V8. Reportada por Zhao Qixun(@ S0rryMybad) de Qihoo 360 Vulcan en equipo 2017-05-16 [$3000] [715582] Alta CVE-2017-5071: Fuera de los límites leído en V8. Han informado por Choongwoo en 2017-04-26 [$3000] [709417] Alta CVE-2017-5072: falsificación de direcciones en el cuadro multifunción. Reportada por Rayyan en Bijoora 2017-04-07 [$2000] [716474] Alta CVE-2017-5073: Utilizar después de liberación en la vista preliminar. Reportada por Khalil Zhani en 2017-04-28 [$1000] [700040] Alta CVE-2017-5074: Utilizar después de liberación en Aplicaciones Bluetooth. Reportado por anónimo el 2017-03-09 [$2000] [678776] Medio CVE-2017-5075: Fuga de información CSP informes. Reportado por Emmanuel Gil en Peyrot 2017-01-05 [$1000] [722639] Medio CVE-2017-5086: falsificación de direcciones en el cuadro multifunción. Reportada por Rayyan en Bijoora 2017-05-16 [$1000] [719199] Medio CVE-2017-5076: falsificación de direcciones en el cuadro multifunción. Reportada por Samuel en Erb 2017-05-06 [$1000] [716311] Medio CVE-2017-5077: desbordamiento del búfer de pila Skia. Reportada por el Sweetchip 2017-04-28 [$1000] [711020] Medio CVE-2017-5078: inyección de comandos posible en el manejo mailto. Reportada por Jose Carlos Exposito Bueno en 2017-04-12 [$500] [713686] Medio CVE-2017-5079: suplantación de la interfaz de usuario en el parpadeo. Reportada por Khalil Zhani en 2017-04-20 [$500] [708819] Medio CVE-2017-5080: Utilizar después de liberación en el relleno automático de tarjetas de crédito. Reportada por Khalil Zhani en 2017-04-05 [$N/A] [672008] Medio CVE-2017-5081: de derivación de verificación Extensión. Reportada por Andrey Kovalev (@ L1kvID) Yandex equipo de seguridad en 2016-12-07 [$N/A] [721579] Bajo CVE-2017-5082: endurecimiento insuficiente en editor de tarjeta de crédito. Reportada por ronda de noche Investigación sobre Ciberseguridad 2017-05-11 [$N/A] [714849] Bajo CVE-2017-5083: suplantación de la interfaz de usuario en el parpadeo. Reportada por Khalil Zhani en 2017-04-24 [$N/A] [692378] Bajo CVE-2017-5085: La ejecución de JavaScript en las páginas inapropiada WebUI. Reportada por Zhiyang Zeng de Tencent departamento de plataforma de seguridad de 2017-02-15
Google a Introducir nativo Ad-Bloqueador de cromo en 2018
La actualización no incluye una solución para un truco que permite a los atacantes para descargar automáticamente los archivos maliciosos en el ordenador de la víctima con el fin de robar las credenciales y lanzar ataques de relé SMB. Esta falla se debe a la forma en que Chrome y Windows manejan los archivos .SCF. Google está supuestamente preparando una solución para el problema.
En cuanto al futuro cercano, Google está trabajando actualmente en un nuevo anuncio-molde para Chrome que debe ser presentado el próximo año. De acuerdo con el Wall Street Journal, La nueva función se activará de forma predeterminada y evitará que los anuncios aparezcan en sitios web que brinden una mala experiencia publicitaria a los usuarios..
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: