Google solucionó una serie de 4 vulnerabilidades graves en su sistema operativo conocido como Chrome OS, entre las que se incluyen tres boletines denominados de alto riesgo que pudieran ser utilizados para ejecución de código en equipos vulnerables. Como parte de su programa de recompensas, Google pagó más de 30 mil dólares a un investigador que descubrió 3 de las 4 vulnerabilidades.

Todas las vulnerabilidades que fueron corregidas se encuentran dentro del plugin O3D, una aplicación que permite a desarrolladores la creación de aplicaciones en 3D para páginas web. La vulnerabilidad restante fue clasificada como severidad media.

A continuación se presenta la descripción de las vulnerabilidades corregidas en la versión 26 de Chrome OS:

• Media: CVE-2013-2832: Memoria no inicializada en el buffer del plugin O3D. Créditos a Ralf-Philipp Weinmann.
• Alta: CVE-2013-2833: Uso de memoria después de haber sido liberada dentro del plugin O3D. Créditos a Ralf-Philipp Weinmann.
• Alta: CVE-2013-2834: Evasión de seguridad en O3D y plugins de Google Talk. Créditos a Ralf-Philipp Weinmann.
• Alta: CVE-2013-2835: Evasión de seguridad en O3D y plugins de Google Talk. Créditos al Equipo de Seguridad de Chrome (Chris Evans).

Ralf-Philipp Weinmann recibió 31 mil 336 dólares como recompensa por su trabajo. Esa cantidad es la más alta, hasta ahora, que Google ha pagado como parte del programa de recompensas de Chromium. La mayoría de las recompensas se encuentran en un rango que va de los mil a los tres mil dólares, incluso algunas sobrepasan este rango dependiendo de la severidad de la vulnerabilidad y de la dificultad para explotarse.

"Nos complace premiar a Ralf-Philipp Weinmann con esta cantidad por su aportación de tres vulnerabilidades, el código para explotar cada una y una descripción muy detallada. Estamos agradecidos con Ralf por su trabajo para mantener seguros a los usuarios", publicó Ben Herry, intregrante del equipo de Chrome, en el blog de la compañía.