Nell’ambito di una strategia di resilienza cibernetica sempre più necessaria, Google ha recentemente distribuito un aggiornamento d’emergenza per Chrome, mirato a neutralizzare la terza vulnerabilità zero-day sfruttata in attacchi nell’arco di una settimana: l’ultimo aggiornamento risale allo scorso 10 maggio.
Nei nuovi aggiornamenti mensili appena rilasciati, Google ha corretto un totale di nove vulnerabilità, di cui due (tra cui anche la zero-day) classificate con un indice di gravità alto.
Secondo il bollettino di sicurezza pubblicato dal CSIRT Italia, l’impatto di questa nuova vulnerabilità è grave/rosso (77,94/100).
Indice degli argomenti
I dettagli della vulnerabilità zero-day in Chrome
Tracciata come CVE-2024-4947, la nuova vulnerabilità zero-day appena corretta in Chrome origina da una debolezza nel motore JavaScript V8 di Chrome di tipo “Type confusion”, cioè che consente l’accesso a una risorsa in memoria utilizzando un file di tipo incompatibile.
Questi difetti di sicurezza, generalmente, permettono agli attori minacciosi di causare crash del browser attraverso la lettura o la scrittura di memoria al di fuori dei limiti del buffer, ma possono anche essere sfruttati per l’esecuzione arbitraria di codice sui dispositivi bersaglio.
“Siamo consapevoli dell’esistenza di un exploit per CVE-2024-4947 in ambiente reale” ha dichiarato il colosso della ricerca attraverso il relativo avviso di sicurezza.
Anche Microsoft ha confermato l’esistenza in ambiente reale di exploit per la nuova vulnerabilità zero-day di Chrome, aggiungendo che i suoi ingegneri sono “attivamente impegnati nel rilascio di una correzione di sicurezza” per il browser web Edge basato su Chromium.
Risposta tecnologica e prevenzione
Quest’ultimo episodio segna la settima vulnerabilità zero-day affrontata da Google nel proprio browser web dall’inizio dell’anno, testimoniando un impegno costante nella lotta contro le cyber minacce.
Nonostante i dettagli specifici sugli attacchi rimangano al momento riservati, l’approccio proattivo di Google nel rilasciare tempestivamente le correzioni sottolinea l’importanza di un’attenta gestione della sicurezza informatica e della collaborazione tra le entità nel contrasto alla criminalità informatica.
L’aggiornamento, che risolve la vulnerabilità zero-day CVE-2024-4947 in Chrome, è stato distribuito con le versioni 125.0.6422.60/.61 per Mac/Windows e 125.0.6422.60 (Linux), e verrà implementato per tutti gli utenti nel canale Stable Desktop nelle prossime settimane.
Come impostazione predefinita, il browser Web controlla automaticamente la presenza di nuovi aggiornamenti e li installa dopo il riavvio successivo del programma.
Per verificare la disponibilità dell’aggiornamento e installare subito la patch, è sufficiente avviare Chrome, cliccare sul pulsante con i tre puntini in alto a destra per accedere al menu Personalizza e controlla Google Chrome e spostarsi nella sezione Guida/Informazioni su Google Chrome.
Terminato il download dell’aggiornamento, è sufficiente cliccare sul pulsante Riavvia per applicare la patch.
Al successivo riavvio del browser, è sufficiente accedere nuovamente allo stesso menu Personalizza e controlla Google Chrome.
Da qui potremo verificare la corretta installazione del nuovo aggiornamento.
