Gisteren Google vrijgegeven van de 39 versie van hun Chrome-browser, vaststelling 42 bekende beveiligingslekken volledige afschaffing van steun voor de beruchte SSL 3.0 certificaat waarvoor een was POODLE malware-aanval vorige maand.
De aanval werd ontdekt door Google onderzoekers in oktober, kort na dat het bedrijf aangekondigd dat ze zouden worden upgraden van hun browser, zodat het niet mogelijk servers terugvallen naar de oudere SSL 3.0 certificaat. Wat hackers gebruikten dwong servers terug om deze versie te vallen in plaats van de nieuwere SSL / TLS degenen, decoderen van het verkeer door het sturen van een groot aantal verzoeken om het na. Google van plan zijn om de oudere certificaat in de volgende maanden volledig te verwijderen.
"Een beetje verder naar beneden de lijn, misschien in ongeveer drie maanden, hopen we SSLv3 volledig uitschakelen. De veranderingen die ik net geland in Chrome alleen fallback uitschakelen om SSLv3 - een server die correct onderhandelt SSLv3 kan het nog steeds gebruiken. Het uitschakelen SSLv3 zal volledig zelfs meer dan alleen het uitschakelen van de fallback maar SSLv3 is nu volledig gebroken met CBC-modus cijfers en de enige andere optie is RC4 breken, die nauwelijks dat aantrekkelijk. Elke servers afhankelijk SSLv3 zijn dus op de aankondiging dat ze nodig hebben om nu te pakken dat. ', schreef Google onderzoeker vorige maand.
Bij sommige van de patches Google zijn vaststelling zijn verschillende hoog risico kwetsbaarheden, uitvoering buffer en integer overflows, use-after-free flarden, etc. die allemaal komen na onderzoekers opmerken van hen. Het bedrijf betaalde prijzen voor een totaal van $ 25,000 van degenen die het verhogen van deze vlaggen, betalen $16,500 totaal meer aan degenen die fouten gevonden, terwijl het ontwikkelen.
Hier is de hele lijst van onderzoekers, hun prijzen en het probleem dat zij hief een vlag op:
→ Prijs $500][Lap 389734] High CVE-2014-7899: Adresbalk spoofing. Met dank aan Eli Grey.
[Prijs $1500][Lap 406868] High CVE-2014-7900: Use-after-free in pdfium. Met dank aan Atte Kettunen uit OUSPG.
[Prijs $1000][Lap 413375] High CVE-2014-7901: Integer overflow in pdfium. Met dank aan cloudfuzzer.
[Prijs $1000][Lap 414504] High CVE-2014-7902: Use-after-free in pdfium. Met dank aan cloudfuzzer.
[Prijs $3000][Lap 414525] High CVE-2014-7903: Buffer overflow in pdfium. Met dank aan cloudfuzzer.
