Google ha reso disponibili i dettagli sulle novità introdotte nella nuova versione v0.2.149.29 di Google Chrome Beta, il suo nuovo browser, rilasciata due giorni fa tramite la funzione di aggiornamento automatico del software. Contestualmente il colosso della ricerca ha inaugurato un nuovo blog interamente dedicato alle "release" di Google Chrome, dove saranno pubblicati i dettagli sulle nuove versioni del browser, appena disponibili. Come detto in una news precedente, Google Chrome Beta v0.2.149.29 è un aggiornamento di sicurezza e bug-fixing e non introduce alcuna nuova funzionalità.

Aggiornamenti di protezione in v0.2.149.29:  1. Corretta una vulnerabilità di sovraccarico del buffer nella gestione di nomi file lunghi mostrati nella finestra "Save As" (si trattava di una falla critica che poteva portare all'esecuzione di codice arbitrario – abbiamo parlato di questa problematica in una news precedente). Fix.  2. Corretta una vulnerabilità di sovraccarico del buffer nella gestione dei link target mostrati nell'area di stato quando un utente passa il puntatore mouse su un link (anche in questo caso la falla poteva consentire esecuzione di codice arbitrario). Fix.  3. Corretto un errore di lettura memoria out-of-bound durante il parsing degli URL che terminano in ":%". Google descrive questa problematica "a basso rischio" capace di mandare in crash il browser e causare eventuali perdite di dati nella sessione corrente. Dettagli – Fix.  4. Modificata la cartella predefinita Downloads se settata al Desktop, in modo da assicurarsi che il Desktop non sia la location predefinita. Questa correzione allevia il rischio di "cluttering" del Desktop con download non desiderati, che poteva portare all'esecuzione di file nocivi. Fix.

Altre modifiche:  1. Corrette un paio di problematiche nel trasferimento dati con il servizio Safe Browsing che causavano traffico non necessario (Fix).  2. Corretto un bug JavaScript che affliggeva facebook.com (il Fix integra la corretta gestione degli indici negative nella funzione "for…in" - Dettagli).  3. Corretti i suggerimenti di ricerca che non funzionavano per search.daum.net, search.empas.com, meta.ua, search.naver.com, e search.yahoo.com su vari siti non-statunitensi (Fix).

Con il nuovo aggiornamento Google corregge quindi 2 delle 3 vulnerabilità più importanti segnalate nei giorni scorsi, che abbiamo discusso in news precedenti. Resta ancora scoperta la problematica di carpet-bombing segnalata dal ricercatore Aviv Raff, che combinando due diverse vulnerabilità (una falla in WebKit e un bug di Java discusso durante l'ultima conferenza Back Hat) aveva mostrato come ingannare gli utenti e lanciare eseguibili direttamente dal nuovo browser. Bisogna evidenziare che Google Chrome utilizza il motore WebKit versione 525.13 (quello di Safari 3.1), una versione non aggiornata del software che è stata già corretta per impedire il problema di carpet-bombing (Apple ha integrato l'aggiornamento in Safari v3.1.2). È probabile quindi che questa falla sarà corretta con l'integrazione futura in Google Chrome di una build più recente del motore WebKit.

Fonte: http://www.tweakness.net