Choc Fábrica respinga 51 erros, Mozilla solavancos cert checker

Google e Firefox ter atualizado seus navegadores emblemáticas, esmagando erros e reprimindo os maus certificados ao longo do caminho.

A fábrica de Choc Chrome 41 swats 51 erros dos quais pelo menos 13 são classificados como seis riscos médios considerados de alta gravidade e.

Google engenheiro Penny MacNeil agradeceu pesquisadores de segurança para o esforço para identificar os erros.

"Gostaríamos também de agradecer a todos os pesquisadores de segurança que trabalharam conosco durante o ciclo de desenvolvimento para evitar bugs de segurança chegue a entrar no canal estável", MacNeil diz . Aqui está messes melhorada deste mês:

• [$ 7500] [456516] High CVE-2015-1212: Fora da quadra escrever em mídia. Crédito para anônimo.


• [$ 5000] [448423] High CVE-2015-1213: Fora da quadra escrever em filtros Skia. Crédito para cloudfuzzer.


• [$ 5000] [445810] High CVE-2015-1214: Fora da quadra escrever em filtros Skia. Crédito para cloudfuzzer.


• [$ 5000] [445809] High CVE-2015-1215: Fora da quadra escrever em filtros Skia. Crédito para cloudfuzzer.


• [4.000 $] [454.954] High CVE-2015-1216: Use após livre em ligações V8. Crédito para anônimo.


• [$ 3000] [456192] High CVE-2015-1217: Tipo de confusão em ligações V8. Crédito para anônimo.


• [$ 3000] [456059] High CVE-2015-1218: Use após livre em dom. Crédito para cloudfuzzer.


• [$ 3000] [446164] High CVE-2015-1219: integer overflow em WebGL. Crédito para Chen Zhang (demi6od) de NSFOCUS Security Team.


• [$ 3000] [437651] High CVE-2015-1220: Use após livre descodificador gif. Crédito para Aki Helin de OUSPG.


• [2.500 dólares] [455.368] High CVE-2015-1221: Use após livre em bancos de dados da web. Crédito para Collin Payne.


• [2.500 dólares] [448.082] High CVE-2015-1222: Use após livre em trabalhadores do serviço. Crédito para Collin Payne.


• [$ 2.000] [454231] High CVE-2015-1223: Use após livre em dom. Crédito para Maksymillian Motyl.


• [449610] High CVE-2.015-1.230: Escreva confusão na v8. Agradecemos a SkyLined trabalhar com a Zero Day Initiative da HP.


• [$ 2.000] [449.958] Medium CVE-2015-1224: Fora da quadra lido em vpxdecoder. Crédito para Aki Helin de OUSPG.


• [$ 1000] [446033] Medium CVE-2015-1225: Fora da quadra lido em pdfium. Crédito para cloudfuzzer.


• [$ 1000] [456841] Medium CVE-2015-1226: emissão de Validação no depurador. Crédito para Rob Wu.


• [$ 1000] [450389] Medium CVE-2015-1227: valor não inicializado em um piscar. Crédito para Christoph Diehl.


• [$ 1000] [444707] Medium CVE-2015-1228: valor Uninitialized na renderização. Crédito para miaubiz.


• [$ 500] [431.504] Medium CVE-2015-1229: A injeção de Cookies via proxies. Crédito para iliwoy.

Atualizações do Mozilla Firefox versão 37 incluem um recurso de revogação para reforçar o assassinato de maus certificados intermediários.

O OneCRL substitui o Protocolo de Estado de Certificado Online, que é menos eficaz porque ele depende de terceiros para manter cadastros atualizados de seus certificados válidos e revogados. Certificados eram frequentemente aceito como soft-falhar quando o estado não pode ser determinada devido a alguma falha técnica ou conectividade.

Nova lista da Mozilla opera no navegador e é povoada por emitentes que empurram o estado do certificado, em vez de o navegador ter que fazer a busca.

Esta lista de bloco, já utilizado para criação de listas negras maus plugins e drivers, agora vai acelerar os tempos de verificação, porque evita a necessidade de Mozilla para empurrar para fora atualizações que necessitam de navegador for reiniciado, Mozilla boffin segurança Mark Goodwin diz .

"OneCRL ajuda a acelerar a verificação de revogação por manter uma lista centralizada de certificados revogados e empurrando-o para fora de browsers. Atualmente, se um incidente grave que requer certificados para ser revogada, vamos liberar uma atualização para o Firefox para resolver o problema.

"Este é lento porque é preciso algum tempo para que os usuários obtenham a atualização de segurança e reiniciar seus navegadores. Também há custo envolvido na produção de uma atualização e em usuários de baixá-lo."

Goodwin aponta para um blog pelo Google Adam Langley cara que disse no ano passado que o velho verificação de revogação pouco fez para melhorar a segurança.

OneCRL por agora abrange certificados intermediários para reduzir o tamanho da lista de bloqueio do Mozilla e será depois acelerou, automatizando a coleção de certificados revogados. ®

via Alimentação (Feed)