int(6428)

Boletines de Vulnerabilidades

Múltiples vulnerabilidades en Google Chrome.

Clasificación de la vulnerabilidad
Propiedad Valor
Nivel de Confianza Oficial
Impacto Denegación de Servicio
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema
Propiedad Valor
Fabricante afectado Comercial Software
Software afectado Anterior a 21.0.1180.89

Descripción
Ocho nuevas vulnerabilidades han sido reportadas y parcheadas en Google Chrome.

(CVE-2012-2867) Denegación de servicio causada por SPDY.

(CVE-2012-2870) Errores en la gestión de memoria que podrían derivar en una denegación de servicio.

(CVE-2012-2865) Una lectura fuera de límites en los saltos de línea.

(CVE-2012-2868) Error de sincronización que puede derivar en una denegación de servicio en XMLHttpRequest.

(CVE-2012-2872) Cross-site scripting en SSL.

(CVE-2012-2871) No se admite correctamente un conversión de una variable no especificada durante la manipulación de las transformaciones XSL, lo que permite a atacantes remotos provocar una denegación de servicio o posiblemente tener otro impacto desconocido a través de un documento diseñado para tal fin.

(CVE-2012-2869) Error en cargar correctamente las direcciones URL, permitiendo a atacantes remotos provocar una denegación de servicio

(CVE-2012-2866) Error en realizar debidamente una conversión de una variable no especificada durante la manipulación de ejecución en los elementos, lo que permite a atacantes remotos provocar una denegación de servicio o posiblemente tener otro impacto desconocido a través de un documento malintencionado.

Solución
Una actualización con la corrección de dichas vulnerabilidades está disponible a través de Chrome Update automáticamente en los equipos así configurados.

Además la actualización incluye otras correcciones en complementos y funcionalidades, como Pepper Flash, con el micrófono, una regresión en "devtools", en Mini Ninjas y cambios de colores rojo/verde aleatorios en ciertas páginas.

Identificadores estándar
Propiedad Valor
CVE CVE-2012-2867
CVE-2012-2870
CVE-2012-2865
CVE-2012-2868
CVE-2012-2872
CVE-2012-2866
CVE-2012-2869
CVE-2012-2871
BID

Recursos adicionales
The Stable channel has been updated to 21.0.1180.89 for Linux, Mac, Windows and Chrome Frame
http://googlechromereleases.blogspot.com.es/2012/08/stable-channel-update_30.html

Histórico de versiones
Versión Comentario Fecha
1.0 Aviso emitido 2012-09-05

Miembros de

CERT
FIRST
TF-CSIRT
EGC Group
UE
Red Nacional de SOC
Foro Nacional de Ciberseguridad
CSIRT.es
Ministerio de Defensa
CNI
CCN
CCN-CERT