Google Chrome saca parches para tapar agujero de seguridad encontrado en su segundo “pwnium”

Anoche, Google celebró su segunda competencia Pwnium en Hack in the Box 2012 , que ofrece hasta un total de $ 2 millones para agujeros de seguridad encontrados en Chrome.

Sólo uno fue descubierto, por un joven hacker que se conoce con el alias de “Pinkie Pie”, (quién ya había alcanzado similar premio en la primer edición de la competencia) alcanzo el máximo nivel de recompensa: un premio en efectivo de u$s 60.000 y un Chromebook libre.

Google ha parcheado el fallo y anunció una nueva versión de Chrome para Windows, Mac y Linux. Se puede obtener la última versión del navegador utilizando el built-in de actualización silenciosa, o se puede descargar directamente desde Aquí .

En su comunicación, el gigante de las búsquedas confirmó el fallo de seguridad, y reafirmó la necesidad de su competencia Pwnium:

Felicitaciones a Pinkie Pie, volviendo a la carga con otra bella pieza de trabajo! Estamos encantados con el éxito de Pwnium 2, y anticipar aseguramiento adicional y mejoras futuras a Chrome como resultado de la competencia.

La versión 22.0.1229.94 de Chrome, posee muy pocos, ya que sólo muestra un parche para el agujero de seguridad encontrado solo en Pwnium 2:

CVE-2011-2358 Crítico: SVG use-after-free y escribir en un archivo arbitrario IPC. El crédito es para Pinkie Pie.

El blog tiene detalles más técnicos:

Esto se basa en un pwn comprometido por WebKit Scalable Vector Graphics (SVG) aprovechar el proceso de render y un segundo error en la capa de IPC para escapar del sandbox de Chrome.

Dado que este exploit depende enteramente de errores dentro de Chrome para lograr la ejecución de código, tiene derecho a nuestro nivel más alto galardón como un “exploit Chrome completo”, un premio de u$s 60.000 y Chromebook libre.

El lanzamiento de hoy significa que Google parchea el fallo en menos de un día (menos de 10 horas, si queremos ser más específico). El gigante de las búsquedas hizo lo mismo en el primer concurso Pwnium a principios de este año.

Google lanzó el concurso Pwnium como alternativa al concurso Pwn2Own, del que retiró su patrocinio este año. Debido a que estaba molesto porque las reglas del 2012 no exige la divulgación completa de las hazañas de los ganadores (para explotar el fallo de seguridad detectado).

Fuente

TheNextWeb.com (Original Post)

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s