Posts etiquetados ‘google chrome’

Tres vulnerabilidades han sido identificadas en Google Chrome, que podrían ser explotadas por atacantes remotos para eludir restricciones de seguridad o comprometer un sistema vulnerable.

Sistemas afectados: Versiones de Google Chrome anteriores a la 4.1.249.1064

Riesgo: Alto

Descripción:

La primera vulnerabilidad está causada por un error de corrupción de memoria en el manejo de HTML5 Media.

La segunda vulnerabilidad está causada por un error de corrupción de memoria en manejo de fuentes.

El tercer problema está causado por un error no especificado en Google URL (GURL), que podría permitir la realización de ataques del tipo Cross-Origin Bypass.

Solución:

Actualizar a la versión 4.1.249.1064 de Google Chrome desde:
http://www.google.com/chrome

Más información:

http://googlechromereleases.blogspot.com/2010/04/stable-update-bug-and-security-fixes.html
http://www.vupen.com/english/advisories/2010/1016
http://secunia.com/advisories/39651/

fuente: csirtcv.es


NSS Labs acaba de dar a conocer los resultados de su informe sobre la seguridad de los navegadores. ¿La principal conclusión? Internet Explorer es mucho más seguro que Chrome, Firefox, Opera y Safari.

NSS Labs ha realizado un estudio en el que analiza la seguridad de los principales navegadores del mercado. Así, la firma destaca de Google Chrome, por ejemplo, “las pocas opciones de configuración que ofrece para los usuarios empresariales, dejando poca o ninguna posibilidad de configuración de seguridad” Además, el informe también destaca que Google Chrome “no permite configurar las opciones de JavaScript, no admite diferentes zonas de seguridad, ni es administrable en remoto por un Active Directory. Saca una nueva versión cada poco tiempo, haciendo difícil la construcción de aplicaciones empresariales sobre ella.. Tiene pocos plug-ins pero, como rasgo positivo en seguridad, no existe mucho malware especialmente diseñado para él, salvo el basado directamente en ataques XSS”.

En lo que respecta a Firefox, el estudio resalta que “el número de vulnerabilidades que muestra durante este año duplica a las de cualquier navegador, lo que obliga a la generación de un gran número de parches que deben ser aplicados con diligencia, ya que la que mayoría son de nivel crítico. Firefox tiene una arquitectura que no saca provecho de las ventajas arquitectónicas que ofrecen los sistemas operativos Windows Vista y Windows 7. Como rasgo positivo hay que destacar que todas las vulnerabilidades son parcheadas aunque ha sufrido bastantes críticas sobre cómo se realiza este proceso debido al gran número de fallos de regresión que generan y que resultan en nuevas vulnerabilidades”.

El navegador de Opera, a pesar de que no se han encontrado muchas vulnerabilidades, “presenta muy pocas opciones empresariales de administración y configuración. No tiene filtro Anti XSS ni en el propio código ni como plug-in añadido y sus opciones de seguridad son las menos robustas en esta área. Tampoco hace uso de arquitecturas modulares ni saca provecho de las tecnologías MIC y UIPI en Windows Vista y Windows 7”.

En cuanto al Apple Safari, el estudio afirma que “este navegador no viene pensado para ser administrado de forma centralizada en una empresa con lo que no tiene buenas herramientas”, aunque “sí que existe mucho interés en la industria de la seguridad con este navegador, haciendo que sus vulnerabilidades sean altas dejando bastante sin parchear”.

Internet Explorer 8, el más seguro

Por último, NSS Labs afirma que a pesar de la cantidad de vulnerabilidades que se han encontrado para Internet Explorer 8, “ha demostrado tener las mejores medidas de seguridad aplicadas para fortificar la solución, desde las técnicas de engaño a usuarios, las protecciones Anti XSS, las opciones de fortificación en tecnologías Windows Vista y Windows 7 y, por supuesto, las mejores herramientas de configuración y ajuste de la seguridad, tales como las zonas de seguridad, las listas de permisos en componentes ActiveX por sitio y por usuario, la posibilidad de administrar de forma centralizada da, a los administradores, herramientas eficientes para fortificar sus implantaciones”. No obstante, no todo es positivo, ya que “Internet Explorer, al igual que Firefox, está hoy en día en el punto de mira de la industria del malware y los buscadores de vulnerabilidades”, finaliza el estudio.

DESCARGAR REPORTE

fuente: csospain.es


Google Chrome is prone to a remote code-execution vulnerability.

Successful exploits will allow an attacker to execute arbitrary code in the Chrome sandbox. Failed attacks may cause denial-of-service conditions.

NOTE: This issue is related to BID 35510 (Multiple BSD Distributions ‘gdtoa/misc.c’ Memory Corruption Vulnerability), but because of differences in the code base, it is being assigned its own record.

This issue affects versions prior to Chrome 3.0.195.24.

Published:    Sep 30 2009 12:00AM
Updated:       Oct 01 2009 04:00PM

REFERENCIA DE LA VULNERABILIDAD

GOOGLE REFERENCE

fuente: securityfocus.com

google-chrome

Cuando Google lanzó su primer navegador web Chrome, vimos a Chrome como la extensión de un sistema operativo de Google. Ahora, la profecía se cumple tras el anuncio de Google de un sistema operativo llamado Chrome que estará disponible en la segunda mitad de 2010. Ahora la pregunta es ¿qué diferenciará a Android, el sistema operativo móvil de Google, de su plataforma Chrome?

Antes de entender el valor del sistema operativo basado en Chrome de Google, es importante, conocer qué me ofrece como usuario a diferencia de otras opciones disponibles hoy en día. En el blog de Google, en el que se anuncia el sistema operativo, la compañía comenta que “Google Chrome es un nuevo proyecto, diferente de Android. Android ha sido diseñado desde un principio para trabajar con una amplia variedad de dispositivos desde teléfonos hasta netbooks, mientras que el sistema operativo Google Chrome está siendo desarrollado para personas que pasan la mayor pase de su tiempo en la web y que está siendo diseñado para impulsar el rendimiento de una amplia gama de ordenadores desde los pequeños netbooks hasta los sistema de sobremesa de gran tamaño”.

Pero para que el sistema operativo Chrome pueda ser una opción frente a Windows 7 en la configuraciones de portátiles y de ordenadores de sobremesa, el usuario necesitaría tener un soporte amplio de driver de dispositivo para componentes y periféricos, un terreno en el que Google no ha entrado antes. Sin este soporte, Google podría tener problemas con dispositivos como impresoras o tarjetas gráficas. La compañía incluso podría necesitar la virtualización de Windows para el sistema operativo Chrome, en la medida en que todos los usuarios que confían en las aplicaciones Windows, todavía necesitan tener acceso a éstas en cualquier dispositivo basado en Google.

Grandes esperanzas

Otra parte del comunicado es el siguiente: “Escuchamos a los usuarios y su mensaje es claro: los ordenadores necesitan funcionar mejor. La gente quiere tener acceso a su email de forma instantánea, sin perder el tiempo esperando a que los ordenadores se inicien y los navegadores arranquen. Desean ordenadores que siempre operen tan rápido como cuando los compraron, que puedan tener acceso a su información sin importar si han perdido su ordenador o han olvidado sus archivos de recuperación. Incluso lo que es más importante no quieren pasarse horas configurando sus ordenadores para que trabajen con cada pieza nueva de hardware o tener que preocuparse por las actualizaciones constantes de software.”

Hay cierta verdad en estas afirmaciones especialmente en lo que se refiere a las actualizaciones de software pero no creo,  que nadie quiera almacenar su información sólo en la nube (cloud computing) o que usen un dispositivo como ordenador primario.

Android y Chrome OS serán un desafío para los sistemas operativos con los que compiten pero sólo si tienen aplicaciones que ofrezcan compatibilidad en toda la plataforma con el universo Windows. Los problemas de compatibilidad de software y de dispositivos se antojan importantes en este sentido. Y, en este sentido,  Melissa sostiene que la compañía podría tenerlo difícil para forjarse el lugar que ha apuntado con Android y el Chrome.

fuente: idg.es

google-chrome

Un hacker podría explotar la vulnerabilidad para ejecutar código en una máquina comprometida.

Google ha solucionado una vulnerabilidad de seguridad en su navegador Chrome que la compañía considera como ‘crítica’. El último lanzamiento de Chrome, versión 2.0.172.33, contiene un fallo que podría permitir a un hacker realizar “un ataque de desbordamiento de buffer”, según ha explicado la compañía.

De tener éxito, el ataque permitiría al hacker ejecutar código en una máquina comprometida con privilegios de usuario. Para explotar la vulnerabilidad el hacker “también necesitaría una respuesta especial de un servidor HTTP”, ha dicho Google sin entrar en más detalles sobre el funcionamiento de la vulnerabilidad, detalles que ofrecerá una vez que la mayoría de los usuarios de Chrome hayan parcheado sus navegadores. Ha sido el equipo de investigación interno de Google Chrome quien ha descubierto el fallo.

Esta última versión del navegador ha solucionado también otros fallos, incluido uno por el que Chrome fallaba cuando se cargaban algunos sitios HTTPS.

fuente: vnunet.es

google-chrome

Google ha publicado una actualización de su navegador Google Chrome, para corregir dos vulnerabilidades que podrían llegar a permitir a un atacante remoto la ejecución de código arbitrario.

El primero de los problemas reside en un error de validación de entrada en el proceso del navegador. Un usuario remoto podría crear código HTML de forma que al ser cargado por el navegador provocaría un desbordamiento de búfer en InitSkBitmapFromData() y ejecutar código arbitrario en el sistema atacado.

El segundo de los problemas corregidos permitiría a un usuario remoto crear una imagen o un archivo canvas de forma específica para que al ser cargado por el navegador provoque un desbordamiento de búfer y la ejecución de código arbitrario dentro de la sandbox de Google Chrome.

Se recomienda comprobar que el navegador está actualizado a la última versión disponible.

SECURITY FIX

fuente: hispasec.com

chrome_logo21

Google ha lanzado una nueva versión de su navegador Chrome para resolver un problema de seguridad “muy severo”.

Se trata de un error al manejar ciertas URL en versiones de Google XSS sin la intervención de los usuarios, explica Mark Larson, responsable de programación de Google Chrome. “Si un usuario tiene instalado Google Chrome y visita una página web controlada por un atacante con Internet Explorer, podría causar la puesta en marcha de Google Chrome, cargando así códigos que se ejecutarían tras la navegación por la citada URL, a voluntad del atacante”. Vulnerabilidad en Chrome

Según Larson, un ataque de ese tipo sólo funciona si Chrome no está todavía funcionando. Los ataques XSS pueden hacer que un navegador web procese códigos no autorizados tales como JavaScritp, para llevar a cabo toda una variedad de ataques tales como el robo de información personal.

La vulnerabilidad de Chrome fue dada a conocer en Google por Roi Saltzman, investigador de seguridad en el grupo de IBM de investigación de aplicaciones de seguridad racionales.

fuente: idg.es

google-chrome