Google publica Chrome 57 y corrige 107 vulnerabilidades en Android
Google ha lanzado una nueva versión de este navegador, Google Chrome 57, centrada principalmente en mejorar la estabilidad y, sobre todo, solucionar una serie de fallos conocidos para blindar la seguridad de su navegador.
Esta nueva versión no incluye grandes novedades y cambios que podamos ver a simple vista cuando lancemos de nuevo el navegador, sino que más bien cuenta con un gran número de cambios internos y enfocados a desarrolladores. De esta manera, uno de los cambios más importantes es la implementación de las CSS Grid Layout, una función de diseño que facilita la adaptación de elementos a múltiples resoluciones.
Además de esta nueva función, este navegador también ha solucionado un total de 36 vulnerabilidades, 18 de las cuales han sido descubiertas por investigadores externos a la compañía y 9 de ellas han sido de peligrosidad alta, el mayor nivel de peligrosidad. Estos fallos han sido recompensadas por la compañía con hasta 7500 dólares la más grave.
Este apartado era muy útil para los usuarios que querían deshabilitar el uso de ciertos plugins NPAPI manualmente para reducir el consumo de recursos del navegador y mejorar su seguridad. Sin embargo, desde este momento, los únicos plugins que funcionan, y que Google controla, con el plugin de Flash y el del lector de PDF.
Por último, Google ha añadido un nuevo mensaje junto a las URLs de las páginas "chrome://" que nos indica que la web en cuestión es segura.
Como es habitual, Google divide las vulnerabilidades corregidas en dos bloques principales en función de los componentes afectados. En el nivel de parches de seguridad 2017-03-01 ("2017-03-01 security patch level") se encuentran los que afectan al núcleo de servicios Android, controladores y componentes que todos los fabricantes de smartphones Android deberían incluir con mayor prioridad.
En este bloque se solucionan 36 vulnerabilidades, 11 de ellas se consideran críticas y podrían permitir la ejecución remota de código a través de OpenSSL y BoringSSL o de Mediaserver y de elevación de privilegios en el verificador de recuperacion. Otras 15 de ellas son de gravedad alta, nueve de importancia moderada y una de riesgo bajo.
Por otra parte en el nivel de parches de seguridad 2017-03-05 ("2017-03-05 security patch level") se incluyen vulnerabilidades en controladores y componentes incluidos solo por algunos fabricantes en sus versiones de Android. En este bloque se solucionan un total de 71 fallos en subsistemas del kernel, controladores y componentes OEM. 24 de las vulnerabilidades están consideradas críticas, 32 de gravedad alta y 14 de riesgo medio y solo una de importancia baja. Cabe destacar que los componentes Qualcomm son los más afectados.
Los problemas críticos podrían permitir la elevación de privilegios a través del componentes MediaTek, del controlador GPU NVIDIA, del subsistema ION, del driver Wi-Fi Broadcom, del depurador FIQ del kernel, del controlador GPU Qualcomm, del subsistema de red del kernel; así como diferentes vulnerabilidades en componentes Qualcomm.
A pesar de las actualizaciones de Google para Android, estas solo llegan puntualmente a los dispositivos Pixel y Nexus, los propios de Google. Es destacable el esfuerzo realizado por otros fabricantes, como Samsung o Blackberry, que también están aplicando las actualizaciones con periodicidad. En otros casos, la actualización también incluye a las operadoras de telefonía, lo cual alarga aun más el proceso de actualización. Lamentablemente esto no ocurre con todos los fabricantes. En la mayoría de los casos, que la actualización llegue al usuario, si llega, puede alargarse muchos meses desde su publicación por parte de Google. Por ello, como ya hemos comentado en múltiples ocasiones las actualizaciones siguen siendo uno de los puntos débiles de Android.
La versión de Android de Google Chrome aún no se encuentra disponible, aunque llegará en breve a los usuarios a través de la Play Store de Google.
Fuente: SoftZone | Hispasec
Esta nueva versión no incluye grandes novedades y cambios que podamos ver a simple vista cuando lancemos de nuevo el navegador, sino que más bien cuenta con un gran número de cambios internos y enfocados a desarrolladores. De esta manera, uno de los cambios más importantes es la implementación de las CSS Grid Layout, una función de diseño que facilita la adaptación de elementos a múltiples resoluciones.
Además de esta nueva función, este navegador también ha solucionado un total de 36 vulnerabilidades, 18 de las cuales han sido descubiertas por investigadores externos a la compañía y 9 de ellas han sido de peligrosidad alta, el mayor nivel de peligrosidad. Estos fallos han sido recompensadas por la compañía con hasta 7500 dólares la más grave.
Imposible controlar los plugins en Google Chrome 57
Aunque esto ya se empezó a ver en Chrome 56, ahora ya ha llegado definitivamente a esta nueva versión del navegador. Los usuarios que instalen el nuevo Google Chrome 57 e intenten acceder al apartado de configuración de plugins "chrome://plugins" verán cómo el navegador ya no carga dicha página.Este apartado era muy útil para los usuarios que querían deshabilitar el uso de ciertos plugins NPAPI manualmente para reducir el consumo de recursos del navegador y mejorar su seguridad. Sin embargo, desde este momento, los únicos plugins que funcionan, y que Google controla, con el plugin de Flash y el del lector de PDF.
Por último, Google ha añadido un nuevo mensaje junto a las URLs de las páginas "chrome://" que nos indica que la web en cuestión es segura.
Google soluciona 107 vulnerabilidades en AndroidGoogle ha publicado el boletín de seguridad Android correspondiente al mes de marzo en el que corrige un total de 107 vulnerabilidades, 35 de ellas calificadas como críticas.
Como es habitual, Google divide las vulnerabilidades corregidas en dos bloques principales en función de los componentes afectados. En el nivel de parches de seguridad 2017-03-01 ("2017-03-01 security patch level") se encuentran los que afectan al núcleo de servicios Android, controladores y componentes que todos los fabricantes de smartphones Android deberían incluir con mayor prioridad.
En este bloque se solucionan 36 vulnerabilidades, 11 de ellas se consideran críticas y podrían permitir la ejecución remota de código a través de OpenSSL y BoringSSL o de Mediaserver y de elevación de privilegios en el verificador de recuperacion. Otras 15 de ellas son de gravedad alta, nueve de importancia moderada y una de riesgo bajo.
Por otra parte en el nivel de parches de seguridad 2017-03-05 ("2017-03-05 security patch level") se incluyen vulnerabilidades en controladores y componentes incluidos solo por algunos fabricantes en sus versiones de Android. En este bloque se solucionan un total de 71 fallos en subsistemas del kernel, controladores y componentes OEM. 24 de las vulnerabilidades están consideradas críticas, 32 de gravedad alta y 14 de riesgo medio y solo una de importancia baja. Cabe destacar que los componentes Qualcomm son los más afectados.
Los problemas críticos podrían permitir la elevación de privilegios a través del componentes MediaTek, del controlador GPU NVIDIA, del subsistema ION, del driver Wi-Fi Broadcom, del depurador FIQ del kernel, del controlador GPU Qualcomm, del subsistema de red del kernel; así como diferentes vulnerabilidades en componentes Qualcomm.
A pesar de las actualizaciones de Google para Android, estas solo llegan puntualmente a los dispositivos Pixel y Nexus, los propios de Google. Es destacable el esfuerzo realizado por otros fabricantes, como Samsung o Blackberry, que también están aplicando las actualizaciones con periodicidad. En otros casos, la actualización también incluye a las operadoras de telefonía, lo cual alarga aun más el proceso de actualización. Lamentablemente esto no ocurre con todos los fabricantes. En la mayoría de los casos, que la actualización llegue al usuario, si llega, puede alargarse muchos meses desde su publicación por parte de Google. Por ello, como ya hemos comentado en múltiples ocasiones las actualizaciones siguen siendo uno de los puntos débiles de Android.
Novedades de Google Chrome 57 para Android
Una de las novedades más importantes que llega a la versión de Android del navegador es la nueva Media Session API, una nueva API que permite tener un mayor control sobre las notificaciones del dispositivo. También se ha mejorado el control de las notificaciones en las pantallas de bloqueo de Android y se ha añadido soporte para las Progressive Web Apps.La versión de Android de Google Chrome aún no se encuentra disponible, aunque llegará en breve a los usuarios a través de la Play Store de Google.
Fuente: SoftZone | Hispasec
Via: blog.segu-info.com.ar
Google publica Chrome 57 y corrige 107 vulnerabilidades en Android
Reviewed by Zion3R
on
8:13
Rating: