Hier, Google a publié le 39 version de son navigateur Chrome, fixation 42 vulnérabilités connues enlever tout soutien à la célèbre SSL 3.0 certificat qui a été soumis à un Attaque de malware POODLE mois dernier.
L'attaque a été découvert par des chercheurs de Google en Octobre, peu de temps après que la société a annoncé qu'ils seraient modernisent leur navigateur, si elle ne permet pas de serveurs à se replier à la SSL plus 3.0 certificat. Ce que les pirates utilisaient forçait serveurs de retomber à cette version au lieu d'utiliser les plus récents SSL / TLS ceux, décrypter le trafic en envoyant de nombreuses demandes à elle après. Google envisagent de supprimer complètement le certificat plus dans les mois suivants.
»Un peu plus loin sur la ligne, peut-être dans environ trois mois, nous espérons désactiver complètement SSLv3. Les changements que je ai juste débarqué en Chrome seulement désactiver repli à SSLv3 - un serveur qui négocie correctement SSLv3 pouvez toujours l'utiliser. Désactivation SSLv3 complètement briser même plus que la désactivation du repli mais SSLv3 est maintenant complètement rompu avec chiffrement CBC-mode et la seule autre option est RC4, qui est à peine que attrayant. Tous les serveurs en fonction de SSLv3 sont ainsi avertis qu'ils doivent prendre en compte que maintenant. ", Google a écrit chercheur mois dernier.
Parmi certains des correctifs Google sont de fixation sont plusieurs vulnérabilités à haut risque, mise en œuvre de tampons et débordements d'entiers, utiliser-après sans taches, etc. tous qui vient après les chercheurs se en apercevoir. La société a payé des prix pour un total de $ 25,000 de ceux qui élèvent ces drapeaux, payant $16,500 total, plus à ceux qui ont trouvé des erreurs tout en développant.
Voici toute la liste des chercheurs, leurs prix et le problème qu'ils ont soulevé un drapeau sur:
→ Prix $500][Pièce 389734] CVE-2014-7899 Haut: Barre d'adresse spoofing. Crédit Eli Gris.
[Prix $1500][Pièce 406868] CVE-2014-7900 Haut: Utilisez-after-free dans pdfium. Crédit Atte Kettunen de OUSPG.
[Prix $1000][Pièce 413375] CVE-2014-7901 Haut: Débordement d'entier dans pdfium. Crédit cloudfuzzer.
[Prix $1000][Pièce 414504] CVE-2014-7902 Haut: Utilisez-after-free dans pdfium. Crédit cloudfuzzer.
[Prix $3000][Pièce 414525] CVE-2014-7903 Haut: Dépassement de tampon dans pdfium. Crédit cloudfuzzer.
