• Tweet

Google ha parchado 11 vulnerabilidades de Chrome en Windows, incluyendo una que hizo ganar un cheque por $ 1337 a quien la encontró, con el programa de recompensa de búsqueda de vulnerabilidades de la compañía.

Al igual que Apple, que actualizó Safari la semana pasada, Google reforzó la seguridad de su navegador sólo unos días antes de que el concurso de hackeo Pwn2Own dio comienzo en Canadá.

La actualización de Chrome 4.1.249.1036 corrige seis fallos con calificación "alta", el segundo más grave en el ranking del sistema de amenazas de cuatro pasos de Google; soluciona tres fallos “medio", y anula dos errores "bajo".

El detector de vulnerabilidades danés de Secunia ha valorado la actualización como "altamente crítica".

Aunque Google suele ocultar los detalles técnicos de las vulnerabilidades más graves cuando se emite una actualización - bloquea las entradas de reporte de errores para evitar que los atacantes pueden utilizar la información - todos los 11 errores están detrás de la pared esta vez.

"Los fallos a los que se hace referencia pueden permanecer confidenciales hasta que la mayoría de nuestros usuarios se haya actualizado con los parches", explicó Orit Mazor, director de programa técnico con el equipo de Chrome, en una entrada al blog el miércoles.

Un error en WebKit, el motor del navegador open-source que utiliza Chrome, así como Safari, hizo que el investigador Sergey Glazunov ganara un cheque por 1337 dólares, el máximo pago que da Google por encontrar vulnerabilidades como parte de un programa de recompensas que debutó en enero pasado. La mayoría de los buscadores de fallos ganan sólo $500, pero errores "particularmente graves o particularmente inteligente" cosechan las recompensas de 1337 dólares cada uno. La cantidad es una referencia a "leet", una especie de lenguaje geek utilizado por algunos investigadores, allí, "leet" se representa como "1337".

Otras vulnerabilidades fueron acreditados a Mark Dowd, un notable investigador de vulnerabilidades de web y OS que está trabajando bajo contrato para Google, Robert "RSnake" Hansen, CEO de SecTheory y Aki Helin de OUSPG (Universidad de Oulu del Grupo de Programación Segura), de la Universidad de Oulu en Finlandia.

En total, Google pagó 3337 dólares en recompensas por los errores que fueron parchados el miércoles.

Sólo la distribución “estable” de Windows - un término que Google utiliza en lugar de "final" - fue parchado, las versiones en Mac y Linux de Chrome aún no han abandonado la versión “beta”.

Chrome es el segundo navegador en ser parchado en siete días. El 11 de marzo, Apple arregló 16 fallas en Safari. Ambas actualizaciones de los navegadores son oportunas: Comenzando el próximo miércoles, Chrome, Safari, Internet Explorer 8 de Microsoft y Firefox de Mozilla irán a la cabeza con un número desconocido de hackers que intentarán aprovecharse de las vulnerabilidades sin parches y ganar $40,000 en efectivo en Pwn2Own, el concurso anual patrocinado por 3Com, TippingPoint. El jueves, Aaron Portnoy, un líder del equipo de investigación de seguridad de TippingPoint y el organizador de Pwn2Own de este año, pronosticó que Safari caería al ataque en el segundo de los tres días del certamen, mientras que Chrome sería el único superviviente.

Google ha agregado varias características no seguras para la actualización del miércoles, incluida la traducción de idioma integrado y la nueva configuración de navegación privada, que había iniciado en las distribuciones beta a principios de este mes.

La última vez que Google parchó la versión estable de Chrome para Windows fue a finales de enero.