Google ha aggiornato Chrome alla versione 11.0.696.68 al fine di risolvere due vulnerabilità ad alto rischio e includere il nuovo plug-in Flash Player 10.3. Entrambe le vulnerabilità sono state scoperte internamente dai membri del team di sicurezza di Google Chrome in modo che nessun dei premi sono stati offerti in questa release. Una delle vulnerabilità, CVE-2011-1799, è costituita da un cattivo frammento di codice che collega Chromium a WebKit, mentre l'altra, CVE-2011-1800, riguardava integer overflow nei filtri SVG. "Questa versione contiene anche Flash Player 10.3, una versione incrementale con maggiore stabilità, maggiore sicurezza e tutela della privacy degli utenti, e nuove funzionalità per le imprese e gli sviluppatori", si legge nell'annuncio di rilascio. Da parte sua, Adobe Flash Player 10.3 affronta una serie di undici vulnerabilità, dieci delle quali sono classificati come critiche e consentono l'esecuzione di codice arbitrario. Un altro cambiamento importante è che si integra con i controlli della privacy del browser Chrome e consente agli utenti di cancellare gli oggetti flash memorizzati in locale (cookie Flash) direttamente dall'interfaccia del browser. L'aggiornamento di Flash Player è molto importante perché i plug-in obsoleti sono regolarmente presi di mira in attacchi web-based, tuttavia, il suo impatto è inferiore in Chrome. Il browser di Google viene fornito con un plug-in Flash Player realizzato in collaborazione con Adobe che viene eseguito nativo nella sua sandbox. Questo tipo di isolamento rende molto difficile agli hacker eseguire codice sul sistema sottostante, se una vulnerabilità di Flash Player è sfruttata. Ma la sandbox non è uno scudo impenetrabile: la società di sicurezza francese VUPEN recentemente ha annunciato una vulnerabilità che si compone di codice molto sofisticato. Gli utenti di Google Chrome Stabile dovrebbero ottenere le notifiche di aggiornamento presto, se non le hanno già ricevute. Gli utenti che preferiscono scaricare Chrome dal sito ufficiale possono farlo direttamente dal sito ufficiale. Il browser può essere aggiornato eseguendo l'installer dopo che il download è terminato.
Nessun commento:
Posta un commento