Nell’ambito di un costante impegno per la sicurezza informatica, Google ha annunciato il rilascio di un aggiornamento di sicurezza per il browser Chrome, volto a correggere una vulnerabilità zero-day di elevata gravità, segnata come la quinta sfruttata attivamente dagli attaccanti dall’inizio dell’anno.
Il suo sfruttamento potrebbe consentire a un utente malintenzionato remoto l’esecuzione di codice arbitrario sui sistemi target, inducendo la vittima a collegarsi a una pagina web opportunatamente predisposta.
Secondo quanto riportato dal CSIRT Italia, l’impatto della vulnerabilità è grave/rosso (77,94/100).
Indice degli argomenti
I dettagli della nuova vulnerabilità zero-day in Chrome
La vulnerabilità è stata scoperta e segnalata da un ricercatore anonimo e, come ha confermato Google nel relativo bollettino di sicurezza, è stata già sfruttata in attacchi mirati.
Identificata con il codice CVE-2024-4671, la falla di sicurezza rientra nella categoria “use-after-free” (UAF, uso di memoria dinamica, anche se già deallocata, a causa di un errore nel codice) e riguarda il componente Visuals di Chrome, responsabile della renderizzazione e visualizzazione dei contenuti delle pagine Web nel browser.
Le vulnerabilità “use after free” emergono quando un programma continua a utilizzare un puntatore a memoria dopo che quest’ultima è stata liberata, al termine delle operazioni legittime su di essa.
Questo può portare a perdita di dati, esecuzione di codice arbitrario o crash del sistema, a seconda della natura dei nuovi dati presenti nella memoria o del loro utilizzo da parte di altri software o componenti.
Le misure di sicurezza da adottare
Questa vulnerabilità rappresenta solo l’ultima di una serie di falle zero-day corrette in Chrome dall’inizio del 2024, con altre individuate durante il concorso di hacking Pwn2Own tenutosi a Vancouver nel marzo 2024.
La rapidità e l’efficienza di Google nel gestire queste minacce sottolinea l’importanza di un aggiornamento tempestivo dei sistemi per garantire una navigazione sicura.
Come aggiornare Google Chrome
Per fronteggiare efficacemente questa minaccia, Google ha proceduto con il rilascio della versione 124.0.6367.201/.202 per Mac e Windows e della versione 124.0.6367.201 per Linux. Gli aggiornamenti verranno distribuiti nei prossimi giorni o settimane.
Inoltre, per gli utenti del canale “Extended Stable”, le correzioni saranno disponibili nella versione 124.0.6367.201 per Mac e Windows, anch’esse in distribuzione in un secondo momento.
Come impostazione predefinita, il browser Web controlla automaticamente la presenza di nuovi aggiornamenti e li installa dopo il riavvio successivo del programma.
Per verificare la disponibilità dell’aggiornamento e installare subito la patch, è sufficiente avviare Chrome, cliccare sul pulsante con i tre puntini in alto a destra per accedere al menu Personalizza e controlla Google Chrome e spostarsi nella sezione Guida/Informazioni su Google Chrome.
Terminato il download dell’aggiornamento, è sufficiente cliccare sul pulsante Riavvia per applicare la patch.
Al successivo riavvio del browser, è sufficiente accedere nuovamente allo stesso menu Personalizza e controlla Google Chrome.
Da qui potremo verificare la corretta installazione del nuovo aggiornamento.
