TECNOVIRUS.- El Gigante de las búsquedas acaba de colocar una nueva actualización de su popular navegador Google Chrome en su versión para dispositivos con Android la cual soluciona varios fallos de seguridad que han sido reportados a través del programa de recompensas por vulnerabilidades (Vulnerability Rewards Program).
El Vulnerability Rewards Program patrocinado por Google, es un programa del proyecto Chromium que ofrece diferentes sumas de dinero por aportar vulnerabilidades, cuyos montos varían dependiendo de la importancia y trascendencia del error, esta interesante modalidad para encontrar y corregir fallas en su navegador no es la única utilizada por Google, ya comentábamos sobre el Pwnium, otro Concurso anual a través del cual se premia la habilidad de hackers y especialistas en Seguridad Informática que logren vulnerar la seguridad de Chrome.
En total se han solucionado siete vulnerabilidades en la última versión del navegador, la 18.0.1025308. Todas ellas catalogadas con importancia media y recompensadas con 500 dólares cada una, como de costumbre aún se conoce poco de las mismas y de la afectación que esto podría haber generado pues por razones de seguridad se prefiere esperar a que el número de afectados por estos fallos disminuya en la misma medida en que se apliquen las actualizaciones comentadas.
En primer lugar, estas dos vulnerabilidades se atribuyen a Artem Chaykin:
- CVE-2012-4903 (bug 138210): Debido a un error de falta de restricciones, una URL podría acceder a ficheros arbitrarios del sistema dando la posibilidad a un atacante remoto a acceder a información sensible en los equipos atacados.
- CVE-2012-4904 (bug 138035): El navegador podría permitir la inyección de código script remota a través de vectores aún no especificados.
Las otras cinco fallas fueron descubiertas y reportadas por Takeshi Terada:
- CVE-2012-4905 (bug 144813): Un atacante remoto podría inyectar código script o HTML a través de un objeto especialmente diseñado para ello (XSS).
- CVE-2012-4906 (bug 144820): Acceso a información sensible.
- CVE-2012-4907 (bug 137532): Las APIs de Android están expuestas a su acceso a través de Javascript por una falta de restricciones. No hay información respecto al impacto.
- CVE-2012-4908 (bug 144866): Permitiría a atacantes remotos a evadir ciertas restricciones y conseguir acceso a ficheros locales a través de enlaces simbólicos.
- CVE-2012-4909 (bug 141889): Una aplicación Android maliciosa podría obtener las cookies del sistema.
Todas las vulnerabilidades comentadas se solucionan aplicando la actualización a la nueva versión del navegador Google Chrome 18.0.1025308, la cual ya está disponible a través de Google Play.
https://play.google.com/store/apps/details?id=com.android.chrome
Dada la frecuencia con la cual pueden aparecer estas vulnerabilidades, la alta capacidad de respuesta de Google y la disponibilidad de las mismas a través de la tienda de aplicaciones Google Play, recomendamos activar para esta aplicación específica el sistema de actualización automáticas a través del panel de configuración de su Smartphone.
[youtube width=»450″ height=»344″]https://www.youtube.com/watch?v=lVjw7n_U37A[/youtube]
Con Información de: Hispasec.