24 ene. 2016

Google publica Chrome 48 y pone fin al soporte RC4

Hace algunas horas Google anunciaba la llegada de la versión 48 de Google Chrome a la rama estable. De acuerdo a Venturebeat, el popular navegador añadió en su última versión botones para notificaciones personalizadas y el retiro del soporte al cifrado RC4 para conexión HTTPS, a raíz de los problemas de seguridad que este último provocaba.

Esta versión se ha centrado, una vez más, en solucionar problemas de rendimiento y fallos de seguridad en el navegador, ya que entre las principales novedades que se incluyen solo cabe destacar la posibilidad de interactuar con las notificaciones del navegador en Android y la eliminación definitiva del protocolo de cifrado RC4.

Otras de las características (destinadas mayormente a desarrolladores y programadores) incluidas en esta nueva versión son:
  • Nuevo panel de seguridad DevTools para desarrolladores.
  • El protocolo WebRTC ahora es compatible con el codec de vídeo VP9 ocupando la mitad del ancho de banda que otros codecs.
  • Numerosos cambios en la programación HTML, CSS y JavaScript.
En cuanto a la seguridad de Google Chrome 48, esta actualización soluciona un total de 37 fallos de seguridad, entre los que podemos destacar:
  • CVE-2016-1612. Peligrosidad alta. Un problema de cast en V8.
  • CVE-2016-1613. Peligrosidad alta. Un fallo que permite el uso de recursos tras la finalización de PDFium.
  • CVE-2016-1614. Peligrosidad media. Fuga de información causada por Blink.
  • CVE-2016-1615. Peligrosidad media. Un fallo de origen en la omnibarra de Chrome.
  • CVE-2016-1616. Peligrosidad media. Un fallo de seguridad que permitía suplantar direcciones URL.
  • CVE-2016-1617. Peligrosidad media. Permitía el rastreo a través de HSTS y CSP.
  • CVE-2016-1618. Peligrosidad media. Un fallo que generaba números aleatorios débiles en Blink.
  • CVE-2016-1619. Peligrosidad media. Un fallo que permitía acceder a los datos más allá de los límites de la memoria en PDFium.
Google cuenta con un programa Bug Bounty donde ofrece recompensas a los investigadores de seguridad que detecten y reporten fallos en su software. Solo con los fallos anteriores, el lanzamiento de esta nueva versión y la solución de los fallos ha supuesto a la compañía 10.500 dólares.

Fuente: RedesZone

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!