Llegamos a ustedes gracias a:



Noticias

Google resuelve siete fallas en Chrome

[06/07/2011] Todos excepto una de los fallas resueltas en Chrome 12.0.742.112 han sido clasificadas como altas, el segundo nivel más severo de amenaza en el sistema de cuatro pasos de Google. Varios componentes del navegador se han beneficiado de estos parches, incluyendo su motor JavaScript V8, así como los analizadores CSS y HTML. Antes de esto, el pasado 8 de junio, Google parcheó Chrome, acabando con 15 errores.

Tres de las siete vulnerabilidades se identificaron como fallas use-after-free, es decir, un tipo de falla de gestión de la memoria que puede ser explotada para inyectar código de ataque.
De acuerdo con su práctica habitual, Google bloqueó la base de datos de seguimiento de fallas para evitar que personas externas a la compañía pudieran leer las discusiones de los ingenieros sobre las citadas vulnerabilidades. La compañía no permite que el público entre en la base de datos para dar a los usuarios tiempo para actualizarse. Tan es así, que algunas veces tienen que esperar meses antes de que eliminen esos bloqueos. Por ejemplo, actualmente solamente se puede acceder a las descripciones de dos de las 15 fallas que Google resolvió a principios de mes.
Google pagó seis mil dólares en recompensas a tres investigadores que fueron los que le informaron de la existencia de siete vulnerabilidades, recompensando con 4.500 dólares a un único investigador, miaubiz, quien encontró cinco de los siete problemas.
Uno de los colaboradores más frecuentes de Google en este sentido, Sergey Glazunov, que recibe bastante dinero de la mayoría de las actualizaciones de seguridad de Chrome, no aparecía en la última lista de la compañía. Glazunov es el único investigador que ha recibido la mayor recompensa por parte de Google, 3.133 dólares, algo que ha logrado en dos ocasiones.
Solamente Google y Mozilla pagan este tipo de recompensas a los investigadores de seguridad privados que les informan de problemas en sus navegadores. Ambas compañías han explicado que ese dinero mejora la seguridad de sus aplicaciones. Eso sí, reconocen que las cantidades no son comparables a las que recibirían en el mercado negro por esa información.
Si lanzas un programa de recompensas, recibirás más informes de vulnerabilidades por parte de una mayor cantidad de investigadores, explica Chris Evans, ingeniero de seguridad de Google, en un post de su blog personal. En lo que va de año, Google ha pagado más de 94 mil dólares en este sentido.
Gregg Keizer, Computerworld (US)