Ayer Google lanzó la 39 versión de su navegador Chrome, fijación 42 la eliminación de las vulnerabilidades conocidas del todo el apoyo a la notoria SSL 3.0 certificado de que fue objeto de una Ataque de malware CANICHE mes pasado.
El ataque fue descubierto por investigadores de Google en octubre, poco después de que la compañía anunció que estarían mejorando su navegador, por lo que no permite que los servidores se caigan de nuevo al más viejo SSL 3.0 certificado. Lo que los hackers utilizaban estaba obligando a los servidores a caer de nuevo en esta versión en lugar de utilizar las nuevas SSL / TLS queridos, desencriptar el tráfico mediante el envío de numerosas peticiones a él después. Google está planeando para eliminar por completo el certificado de más edad en los siguientes meses.
'Un poco más abajo de la línea, tal vez en unos tres meses, esperamos desactivar completamente SSLv3. Los cambios que acabo aterrizó en Chrome sólo desactivar repliegue a SSLv3 - un servidor que negocia correctamente SSLv3 todavía puede usarlo. Desactivación SSLv3 completamente romperá incluso más que la desactivación del repliegue pero SSLv3 está completamente roto con sistemas de cifrado CBC-modo y la única otra opción es RC4, que es casi tan atractivo. Cualquier servidor dependiendo de SSLv3 son, pues, en cuenta de que tienen que hacer frente a eso. ', escribió el investigador de Google el mes pasado.
Entre algunos de los parches de Google están arreglando varias vulnerabilidades de alto riesgo, la implementación de amortiguamiento y desbordamientos de enteros, utilizar después de liberación parches, etc. todo lo cual viene después de darse cuenta de los investigadores. La compañía pagó premios por un total de $ 25,000 de los que crían estas banderas, pago $16,500 total de más de los que se encuentran errores durante el desarrollo.
He aquí la lista completa de los investigadores, sus premios y el problema que plantean una bandera en:
→ Premio $500][Parche 389734] Alta CVE-2014-7899: Dirección suplantación de la barra. El crédito al Eli Gris.
[Premio $1500][Parche 406868] Alta CVE-2014-7900: Utilice después de liberación en pdfium. Crédito a Atte Kettunen de OUSPG.
[Premio $1000][Parche 413375] Alta CVE-2014-7901: Desbordamiento de enteros en pdfium. Crédito a cloudfuzzer.
[Premio $1000][Parche 414504] Alta CVE-2014-7902: Utilice después de liberación en pdfium. Crédito a cloudfuzzer.
[Premio $3000][Parche 414525] Alta CVE-2014-7903: Desbordamiento de búfer en pdfium. Crédito a cloudfuzzer.
