Una nueva versión de Google Chrome se está enviando actualmente de forma automática vía la auto actualización que cierra los agujeros de alto riesgo de seguridad en cómo el navegador maneja Javascript y XML.
El primer arreglo para el motor JavaScript del navegador solucionó un problema que le permitiría a un JavaScript malicioso en un sitio Web atacante robar datos o “correr código arbitrariamente”, que usualmente se traduce en “instalar malware”. Google dio en la entrada de un blog (actualmente no disponible) más información sobre la falla que se podía hacer pública “una vez que la mayoría de usuarios estén en disposición de hacer el arreglo”.
La otra solución de alta prioridad le cierra la puerta a un potencial ataque que podría usar código malicioso en una página Web para causar un colapso en el proceso de pestañas de Google y correr código arbitrariamente. El código correría junto con la caja de arena de Google. Vea CVE-2009-2414 y CVE-2009-2416 para más detalle de las pulgas arregladas.
Finalmente, con esta nueva actualización en Chrome no se conectará más a sitios "HTTPS (SSL) con certificados que están firmados usando algoritmos hashing MD2 o MD4”. La entrada en el blog de Google dice que los algoritmos son débiles y le permitirían a una atacante presentar un sitio HTTPS que pareciera válido. Como con la falla JavaScript, Google dice que colocará más información sobre el problema de certificado riesgo medio una vez que la mayoría de usuarios obtengan automáticamente la actualización distribuida.
Para más detalles de la nueva actualización 2.0.172.43, vea el blogspot de Google.
-Por Erik Larkin
PC World (US)
SAN FRANCISCO