Google ha rilasciato, nella giornata di ieri, aggiornamenti necessari a risolvere quattro problemi di sicurezza con indice di gravità elevato nel suo browser Chrome, tra cui anche una vulnerabilità zero-day che risulta essere già attivamente sfruttata.
È la prima dell’anno che risulta essere già utilizzata in attacchi in rete. “Google è a conoscenza di segnalazioni che indicano l’esistenza di un exploit in circolazione”, ha dichiarato l’azienda nel relativo bollettino di sicurezza.
Qualora venisse sfruttato, l’exploit potrebbe consentire a un utente malintenzionato remoto di eseguire codice arbitrario e causare crash del programma.
L’azienda ha risolto la vulnerabilità zero-day per gli utenti del canale Stable Desktop e le versioni patchate sono state già distribuite in tutto il mondo agli utenti Windows (120.0.6099.224/225), Mac (120.0.6099.234) e Linux (120.0.6099.224) meno di una settimana dopo la segnalazione a Google, avvenuta in maniera anonima lo scorso 11 gennaio 2024.
Indice degli argomenti
Prima vulnerabilità zero-day del 2024 in Chrome: i dettagli
La problematica, identificata come CVE-2024-0519, riguarda un accesso alla memoria di tipo “out-of-bounds” ed è stata identificata nel motore V8 JavaScript e WebAssembly.
Ciò può essere utilizzato come arma da cyber criminali per innescare un crash del browser. “Leggendo la memoria fuori limite, un aggressore potrebbe riuscire a ottenere valori segreti, come indirizzi di memoria, che possono eludere meccanismi di protezione come l’ASLR al fine di migliorare l’affidabilità e la probabilità di sfruttare una debolezza separata per eseguire codice invece che semplicemente negare il servizio”, secondo quanto riportato dal Common Weakness Enumeration (CWE) del MITRE.
Come già in passato, in occasione di altri aggiornamenti di sicurezza (ricordiamo che, nel 2023, è stato risolto un totale di otto vulnerabilità zero-day attivamente sfruttate nel browser Chrome), Google ha evitato di fornire ulteriori dettagli sulla natura degli attacchi e sui potenziali autori nel tentativo di prevenire ulteriori sfruttamenti della vulnerabilità zero-day.
Come aggiornare Google Chrome
Come dicevamo in apertura dell’articolo, la nuova vulnerabilità zero-day CVE-2024-0519 è stata risolta in Google Chrome 120.0.6099.224/225per Windows, 120.0.6099.234 per Mac e 120.0.6099.224 per Linux. Tutte e tre le versioni risultano essere già in distribuzione in tutto il mondo.
Come impostazione predefinita, il browser web controlla automaticamente la presenza di nuovi aggiornamenti e li installa dopo il riavvio successivo del programma.
Per verificare la disponibilità dell’aggiornamento e installare subito la patch, è sufficiente avviare Chrome, cliccare sul pulsante con i tre puntini in alto a destra per accedere al menu Personalizza e controlla Google Chrome e spostarsi nella sezione Guida/Informazioni su Google Chrome.
Terminato il download dell’aggiornamento, è sufficiente cliccare sul pulsante Riavvia per applicare la patch.
Al successivo riavvio del browser, è sufficiente accedere nuovamente allo stesso menu per verificare la corretta installazione del nuovo aggiornamento.
