Google soluciona 15 vulnerabilidades en Chrome
Google ha pagado un total de 6.000 dólares a los desarrolladores que descubrieron las 15 vulnerabilidades que acaba de parchear en su navegador Chrome.
Google ha lanzado Chrome 16, una nueva versión estable de su navegador web que soluciona un total de 15 vulnerabilidades consideradas de riesgo medio y alto.
Cuatro de los fallos de seguridad parcheados en este lanzamiento se deben a errores en el analizar PDF integrado en Chrome, que está basado en el SDK de Foxit. Dos de ellos se consideran de riesgo medio y permitirían a un atacante acceder a partes de la memoria del sistema, lo que dejaría expuesta información sensible. Los otros dos fallos permitiría a un atacante ejecutar código arbitrario engañando a las víctimas para que abran archivos PDF especialmente manipulados y dañinos, por lo que tienen un nivel más alto en cuanto al riesgo que ofrecen.
En total se han solucionado seis vulnerabilidades ‘altas’, siete de riesgo ‘medio’ y otras dos de de riesgo ‘bajo’ en Chrome 16. Siete de ellas fueron descubiertas por desarrolladores de Chromium y miembros de Chrome y de Google Security, mientras que el resto fueron descubiertas por investigadores externos que ganaron un total de 6.000 dólares a través del programa Chromium Security Reward.
Seis de las vulnerabilidades fueron descubiertas gracias a una herramienta de código abierto llamada AddressSanitizer. Desde Google explican también que aunque los fallos de acceso a la memoria no autorizado y la ejecución arbitraria de código con un riesgo, el posible impacto se ve muy reducido por la caja de arena de Google Chrome.
La caja de arena, o sandboxing es una tecnología de aísla los componentes potencialmente vulnerables del sistema operativo.