Ieri Google ha rilasciato il 39 versione del loro browser Chrome, fissaggio 42 vulnerabilità note del tutto rimuovendo il supporto per SSL famigerato 3.0 certificato che è stato oggetto di un Attacco di software dannoso BARBONCINO il mese scorso.
L'attacco è stato scoperto dai ricercatori di Google nel mese di ottobre, poco dopo che la società ha annunciato che sarebbero aggiornando il proprio browser, quindi non permette ai server di ricadere SSL anziani 3.0 certificato. Che gli hacker stavano usando era costringendo i server a ripiegare a questa versione invece di utilizzare i più recenti SSL / TLS quelli, decifrare il traffico inviando numerose richieste per dopo. Google hanno in programma di rimuovere completamente il certificato anziani nei mesi successivi.
'Un po' più in basso la linea, forse in circa tre mesi, speriamo di disabilitare completamente SSLv3. I cambiamenti che ho appena atterrato in Chrome disattivare solo fallback SSLv3 - un server che negozia correttamente SSLv3 può ancora usarlo. Disabilitare SSLv3 completamente trascorreranno più di disabilitazione del fallback ma SSLv3 è ora completamente rotto con cifre CBC-mode e l'unica altra opzione è RC4, che è difficilmente che attraente. Qualsiasi server seconda SSLv3 sono quindi sull'avviso che hanno bisogno di affrontare questo momento. ', ha scritto Google ricercatore mese scorso.
Tra alcune delle patch Google sono di fissaggio sono diverse vulnerabilità ad alto rischio, attuazione del buffer e integer overflow, utilizzare-libero dopo-patch, etc. tutto ciò che viene dopo i ricercatori notarli. La società ha pagato premi per un totale di $ 25,000 di quelli che sollevano queste bandiere, pagamento $16,500 totale di più per quelli che hanno trovato errori durante lo sviluppo.
Ecco la lista completa dei ricercatori, i premi e il problema che ha sollevato una bandiera su:
→ Premio $500][Toppa 389734] Alta CVE-2014-7899: Indirizzo bar spoofing. Si ringrazia Eli Grigio.
[Premio $1500][Toppa 406868] Alta CVE-2014-7900: Usa-after-free in pdfium. Si ringrazia Atte Kettunen da OUSPG.
[Premio $1000][Toppa 413375] Alta CVE-2014-7901: Integer overflow nella pdfium. Si ringrazia cloudfuzzer.
[Premio $1000][Toppa 414504] Alta CVE-2014-7902: Usa-after-free in pdfium. Si ringrazia cloudfuzzer.
[Premio $3000][Toppa 414525] Alta CVE-2014-7903: Buffer overflow in pdfium. Si ringrazia cloudfuzzer.
