• Tweet

Google ha liberado una nueva actualización de seguridad para Chrome con el fin de resolver varias vulnerabilidades, dos de los cuales son clasificadas como críticas.

El nuevo Google Chrome 11.0.696.7 contiene correcciones para un total de cuatro fallas de seguridad, una clasificada como baja, otra como alta y dos como críticas.

La vulnerabilidad de gravedad baja (CVE-2011-1801) fue descubierta por el investigador de seguridad Chamal De Silva y consiste en una derivación del bloqueador de ventanas emergentes.

La de alto impacto se identifica como CVE-2011-1804 y es causada por un puntero obsoleto. Se le atribuye a Martin Barbella quien gano $1,000 dólares por el descubrimiento.

Fue la única vulnerabilidad recompensada en esta publicación mediante el Chromium vulnerability reward program, ya que las críticas también fueron descubiertas por miembros del equipo de seguridad de Chrome.

Una de las fallas críticas (CVE-2011-1806) consiste en un problema de corrupción de memoria en el búfer de comandos GPU y fue identificada por el ingeniero de seguridad de Chrome, Cris Neckar.

La segunda (CVE-2011-1807) es causada por un out-of-bounds (fuera del límite establecido) de escritura en el manejo de blob y es atribuido al Inferno of the Chrome Security Team y al Kostya Serebryany de la comunidad de desarrollo Chromium. 

Además de los parches de vulnerabilidad, esta actualización también incluye correcciones de errores no relacionados con seguridad. Uno de ellos se refiere a una cuestión de selección de texto en LinkedIn que ya había sido corregido anteriormente, pero reapareció en una publicación reciente.

Se ha modificado también el procedimiento ConnectBackupJob para tratar direcciones IPv4 por primera vez en la preparación para el IPv6 Day en el que algunas redes podrían tomar mucho tiempo en responder a las peticiones de IPv6. 

Otras correcciones se dirigen a reportes incorrectos de complementos para Mac que contravienen a ACLs incorrectos en la copia archivada del setup.exe.