Chrome: 17.000$ di aggiornamenti

wintricks.staff · 04-08-2011, 09.29.03

.

Per rendere ancora più sicuro il proprio browser, Google ha indetto una "caccia al bug" che ha fruttato, agli hacker che li hanno scovati, un totale di 17.000 dollari. Questa somma è vista come una sorta di investimento perchè ha portato all'individuazione e risoluzione di numerosi bug, alcuni dei quali di livello critico e in grado di abilitare attacchi da remoto attraverso i download.

L'ultimo aggiornamento rilasciato per Chrome, la versione 13.0.782.107, include proprio i bug segnalati dai vari ricercatori/hacker indipendenti, in totale si tratta di 30 vulnerabilità, presenti nelle versioni Windows, Mac, Linux e Chrome OS.

Ecco la lista delle vulnerabilità individuate e risolte, complete della "taglia" pagata da Google per la loro individuazione, vale la pena prenderne visione per capire l'importanza dell'ultimo aggiornamento a Chrome.

[$1000 each] [78841] High CVE-2011-2359: Stale pointer due to bad line box tracking in rendering. Credit to miaubiz and Martin Barbella.

[$1000] [86502] High CVE-2011-2790: Use-after-free with floating styles. Credit to miaubiz.

[$1000] [86900] High CVE-2011-2791: Out-of-bounds write in ICU. Credit to Yang Dingning from NCNIPC, Graduate University of Chinese Academy of Sciences.

[$1000] [87148] High CVE-2011-2792: Use-after-free with float removal. Credit to miaubiz.

[$1000] [87227] High CVE-2011-2793: Use-after-free in media selectors. Credit to miaubiz.

[87548] High CVE-2011-2796: Use-after-free in Skia. Credit to Google Chrome Security Team (Inferno) and Kostya Serebryany of the Chromium development community.

[$1000] [87729] High CVE-2011-2797: Use-after-free in resource caching. Credit to miaubiz.

[87815] Low CVE-2011-2798: Prevent a couple of internal schemes from being web accessible. Credit to sirdarckcat of the Google Security Team.

[$1000] [87925] High CVE-2011-2799: Use-after-free in HTML range handling. Credit to miaubiz.

[$1000] [88591] High CVE-2011-2802: v8 crash with const lookups. Credit to Christian Holler.

[$1000] [88846] High CVE-2011-2801: Use-after-free in frame loader. Credit to miaubiz.

[$1000] [88889] High CVE-2011-2818: Use-after-free in display box rendering. Credit to Martin Barbella.

[$500] [89142] High CVE-2011-2804: PDF crash with nested functions. Credit to Aki Helin of OUSPG.

[$1500] [89520] High CVE-2011-2805: Cross-origin script injection. Credit to Sergey Glazunov.

[$1500] [90222] High CVE-2011-2819: Cross-origin violation in base URI handling. Credit to Sergey Glazunov.

MadMav · 04-08-2011, 12.09.21

A quanto pare miaubiz farà delle vacanze sostanziose

04-08-2011, 09.29.03	#1
wintricks.staff Hero Member Registrato: 04-04-2000 Loc.: TriVeneto, Italia Messaggi: 605	Chrome: 17.000$ di aggiornamenti . Per rendere ancora più sicuro il proprio browser, Google ha indetto una "caccia al bug" che ha fruttato, agli hacker che li hanno scovati, un totale di 17.000 dollari. Questa somma è vista come una sorta di investimento perchè ha portato all'individuazione e risoluzione di numerosi bug, alcuni dei quali di livello critico e in grado di abilitare attacchi da remoto attraverso i download. L'ultimo aggiornamento rilasciato per Chrome, la versione 13.0.782.107, include proprio i bug segnalati dai vari ricercatori/hacker indipendenti, in totale si tratta di 30 vulnerabilità, presenti nelle versioni Windows, Mac, Linux e Chrome OS. Ecco la lista delle vulnerabilità individuate e risolte, complete della "taglia" pagata da Google per la loro individuazione, vale la pena prenderne visione per capire l'importanza dell'ultimo aggiornamento a Chrome. [$1000 each] [78841] High CVE-2011-2359: Stale pointer due to bad line box tracking in rendering. Credit to miaubiz and Martin Barbella. [$1000] [86502] High CVE-2011-2790: Use-after-free with floating styles. Credit to miaubiz. [$1000] [86900] High CVE-2011-2791: Out-of-bounds write in ICU. Credit to Yang Dingning from NCNIPC, Graduate University of Chinese Academy of Sciences. [$1000] [87148] High CVE-2011-2792: Use-after-free with float removal. Credit to miaubiz. [$1000] [87227] High CVE-2011-2793: Use-after-free in media selectors. Credit to miaubiz. [87548] High CVE-2011-2796: Use-after-free in Skia. Credit to Google Chrome Security Team (Inferno) and Kostya Serebryany of the Chromium development community. [$1000] [87729] High CVE-2011-2797: Use-after-free in resource caching. Credit to miaubiz. [87815] Low CVE-2011-2798: Prevent a couple of internal schemes from being web accessible. Credit to sirdarckcat of the Google Security Team. [$1000] [87925] High CVE-2011-2799: Use-after-free in HTML range handling. Credit to miaubiz. [$1000] [88591] High CVE-2011-2802: v8 crash with const lookups. Credit to Christian Holler. [$1000] [88846] High CVE-2011-2801: Use-after-free in frame loader. Credit to miaubiz. [$1000] [88889] High CVE-2011-2818: Use-after-free in display box rendering. Credit to Martin Barbella. [$500] [89142] High CVE-2011-2804: PDF crash with nested functions. Credit to Aki Helin of OUSPG. [$1500] [89520] High CVE-2011-2805: Cross-origin script injection. Credit to Sergey Glazunov. [$1500] [90222] High CVE-2011-2819: Cross-origin violation in base URI handling. Credit to Sergey Glazunov.

04-08-2011, 12.09.21	#2
MadMav Newbie Registrato: 20-02-2009 Messaggi: 16	A quanto pare miaubiz farà delle vacanze sostanziose

Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)