Microsoft encuentra agujero de seguridad en Google Chrome Frame

Allá por septiembre, cuando Google lanzó el plugin Google Chrome Frame para los usuarios de Internet Explorer, Microsoft advirtió inmediatamente que la movida incrementaría la superficie de ataque y haría menos seguros a los usuarios de IE.

Ahora viene el dato que un investigador de seguridad del equipo de Investigación de Vulnerabilidades de Microsoft (MSVR) que ha descubierto una vulnerabilidad de "alto riesgo" que podría permitir a un atacante eludir las protecciones cross-origin.

   VEA: Microsoft dice que Google Chrome Frame duplica la superficie de ataque a IE

• Severidad: Alta. Un atacante podría haber eludido las protecciones cross-origin. Aunque importante, los problems de severidad “Alta” no permiten que malware persistente infecte la máquina del usuario. Estamos en desconocimiento de cualquier explotación de este problema.

La compañia de tecnología de busquedas ha liberado una nueva versión de Google Chrome Frame (versión 4.0.245.1) con un parche para la vulnerabilidad.

La actualización del plug-in tambien soluciona varias fallas:

• Solicitudes de red que fallan aleatoriamente (Issue 27401).
• Solución de problemas con CFInstall.js para detectar mejor el SO compatible y las versiones de navegador, permitir a los usuarios cancelar la instalación del Frame, y no almacenar en cache el resultado de isAvailable (Issues 22738, 23057, y 23132).
• No usar Google Chrome Frame para frames o iframes (Issue 22989).
• Seguir apropiadamente las redirecciones (Issue 25643).
• IE8 se congela intermitentemente (Issue 24007).
• Eliminar carpetas de datos en la desinstalación (Issue 27483).

“Todos los usuarios se actualizarán automáticmante,” dijo Mark Larson, un miembro del equipo de Google Chrome.

Traducción: Raúl Batista - Segu-info
Autor: Ryan Naraine
Fuente: Blogs ZDNet