Ontem o Google lançou o 39 versão do navegador Chrome, consertando 42 vulnerabilidades conhecidas, removendo o suporte para o notório SSL 3.0 certificado que estava sujeito a um Ataque de malware POODLE mês passado.
O ataque foi descoberto por pesquisadores do Google em outubro, logo depois disso, a empresa anunciou que atualizaria seu navegador, por isso não permite que os servidores voltem para o SSL antigo 3.0 certificado. O que os hackers estavam usando era forçar os servidores a voltarem para esta versão em vez de usar as mais novas SSL / TLS, descriptografar o tráfego, enviando várias solicitações a ele após. O Google está planejando remover completamente o certificado mais antigo nos próximos meses.
_ Um pouco mais adiante na linha, talvez em cerca de três meses, esperamos desativar SSLv3 completamente. As alterações que acabei de fazer no Chrome desabilitam apenas o fallback para SSLv3 - um servidor que negocia SSLv3 corretamente ainda pode usá-lo. Desativar SSLv3 completamente irá quebrar ainda mais do que apenas desativar o fallback, mas SSLv3 agora está completamente quebrado com cifras de modo CBC e a única outra opção é RC4, o que dificilmente é tão atraente. Todos os servidores que dependem de SSLv3 estão, portanto, avisados de que precisam resolver isso agora. ', escreveu um pesquisador do Google no mês passado.
Entre alguns dos patches que o Google está corrigindo estão várias vulnerabilidades de alto risco, implementação de buffer e buffer overflows, patches de uso pós-livre, etc. todos vindo depois que os pesquisadores os notaram. A empresa pagou prêmios por um total de $ 25,000 daqueles que levantam essas bandeiras, pagando $16,500 totalizam mais para aqueles que encontraram erros durante o desenvolvimento.
aqui está a lista completa de pesquisadores, seus prêmios e o problema que eles levantaram uma bandeira:
→ Prêmio $500][remendo 389734] Alto CVE-2014-7899: Falsificação da barra de endereço. Crédito para Eli Gray.
[Prêmio $1500][remendo 406868] Alto CVE-2014-7900: Use após livre em pdfium. Crédito para Atte Kettunen da OUSPG.
[Prêmio $1000][remendo 413375] Alto CVE-2014-7901: Estouro de inteiros em pdfium. Crédito para cloudfuzzer.
[Prêmio $1000][remendo 414504] Alto CVE-2014-7902: Use após livre em pdfium. Crédito para cloudfuzzer.
[Prêmio $3000][remendo 414525] Alto CVE-2014-7903: Estouro de buffer no pdfium. Crédito para cloudfuzzer.
