Vulnerabilidad en la implementación Public Key Pinning (PKP) en Google Chrome (CVE-2014-3166)
Gravedad CVSS v2.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
13/08/2014
Última modificación:
12/04/2025
Descripción
La implementación Public Key Pinning (PKP) en Google Chrome anterior a 36.0.1985.143 en Windows, OS X, y Linux, y anterior a 36.0.1985.135 en Android, no considera correctamente las propiedades de las conexiones SPDY, lo que permite a atacantes remotos obtener información sensible mediante el aprovechamiento del uso de múltiples nombres de dominios.
Impacto
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:google:chrome:*:*:*:*:*:*:*:* | 36.0.1985.143 (excluyendo) | |
| cpe:2.3:o:apple:mac_os_x:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:linux:linux_kernel:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:* | ||
| cpe:2.3:a:google:chrome:*:*:*:*:*:*:*:* | 36.0.1985.135 (excluyendo) | |
| cpe:2.3:o:google:android:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:google:chrome:*:*:*:*:*:*:*:* | 36.0.1985.57 (excluyendo) | |
| cpe:2.3:o:apple:iphone_os:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://googlechromereleases.blogspot.com/2014/08/chrome-for-android-update.html
- http://googlechromereleases.blogspot.com/2014/08/chrome-for-ios-update.html
- http://googlechromereleases.blogspot.com/2014/08/stable-channel-update.html
- http://secunia.com/advisories/59693
- http://secunia.com/advisories/59904
- http://secunia.com/advisories/60685
- http://secunia.com/advisories/60798
- http://security.gentoo.org/glsa/glsa-201408-16.xml
- http://www.debian.org/security/2014/dsa-3039
- http://www.ietf.org/mail-archive/web/tls/current/msg13345.html
- http://www.securityfocus.com/bid/69202
- http://www.securitytracker.com/id/1030732
- https://code.google.com/p/chromium/issues/detail?id=398925
- https://src.chromium.org/viewvc/chrome?revision=286598&view=revision
- https://src.chromium.org/viewvc/chrome?revision=288435&view=revision
- http://googlechromereleases.blogspot.com/2014/08/chrome-for-android-update.html
- http://googlechromereleases.blogspot.com/2014/08/chrome-for-ios-update.html
- http://googlechromereleases.blogspot.com/2014/08/stable-channel-update.html
- http://secunia.com/advisories/59693
- http://secunia.com/advisories/59904
- http://secunia.com/advisories/60685
- http://secunia.com/advisories/60798
- http://security.gentoo.org/glsa/glsa-201408-16.xml
- http://www.debian.org/security/2014/dsa-3039
- http://www.ietf.org/mail-archive/web/tls/current/msg13345.html
- http://www.securityfocus.com/bid/69202
- http://www.securitytracker.com/id/1030732
- https://code.google.com/p/chromium/issues/detail?id=398925
- https://src.chromium.org/viewvc/chrome?revision=286598&view=revision
- https://src.chromium.org/viewvc/chrome?revision=288435&view=revision