ALERTA:  Vulnerabilidades en Google Chrome

06-11-2009                                                CA-AL-12-1109
 

PROBLEMA: Se han reportado algunas vulnerabilidades en Google Chrome, que pueden ser explotadas por un atacante para acceder a información sensible o comprometer el sistema del usuario. Se detallan a continuación las características principales de las mismas:

1) El navegador no avisa cuando un usuario descarga y ejecuta archivos del tipo SVG, MHT o XML. Esto puede ser potencialmente explotado para ejecutar código JavaScript arbitrario en el contexto local del usuario.

2) Un error en la implementación de la API Gears SQL puede ser explotado para ingresar metadatos SQL erroneos a la aplicación, lo que puede causar corrupción de memoria en el sistema afectado. Una explotación exitosa de esta vulnerabilidad permitiría a los atacantes ejecutar código arbitrario pero para ello requiere engañar al usuario para que este permita la interacción del sitio web malicioso con el API mencionado

VERSIONES AFECTADAS:

Versiones anteriores a la 3.0.195.32

SOLUCIÓN: El proveedor ha liberado parches y actualizaciones para los productos afectados.

VALORACIÓN DEL IMPACTO:       MODERADO

REFERENCIAS:

Google - http://googlechromereleases.blogspot.com/2009/11/stable-channel-update.html

Vupen - http://www.vupen.com/english/advisories/2009/3159 

Secunia - http://secunia.com/advisories/37273/2/

Certuy - http://www.cert.uy/alertas/