Nel browser Chrome la prima falla zero-day del 2022 non è più solo a rischio exploit, ma già sotto attacco. È necessario aggiornare subito il browser di Google, per evitare che attaccanti sfruttino la vulnerabilità ad alta severità.
“Si tratta della prima falla zero-day in Chrome risolta quest’anno”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus
Indice degli argomenti
Chrome, falla zero-day già sfruttata da attaccanti
Secondo l’analista, “due aspetti importanti relativi a questa vulnerabilità vanno evidenziati:
- innanzitutto, il fatto che siano stati proprio esperti di Google a trovarla: sebbene si tratti di una falla che è stata sfruttata in attacchi in rete, conferma dell’attenzione dell’azienda agli aspetti di sicurezza;
- secondo aspetto da sottolineare, è come attori malevoli siano in grado di individuare e sfruttare falle zero-day presenti in software di largo consumo come il popolare browser Chrome”.
Si tratta di una vulnerabilità ad alta severità, tracciata come CVE-2022-0609 e descritta come use-after-free (consente, cioè, agli aggressori di caricare codice dannoso in una posizione di memoria che è stata liberata una volta che i suoi contenuti precedenti non sono più in uso).
La vulnerabilità risiede nella componente Animation. In caso di exploit riuscito, potrebbe provocare corruzione di dati validi ed esecuzione di codice arbitrario sui sistemi affetti dal bug.
Ma l’altro grave pericolo riguarda il rischio di attacchi Denial of Service (Dos).
La falla affligge le versioni precedenti alla 98.0.4758.102 del browser Google Chrome per i sistemi operativi Windows, macOS e Linux.
“Google è consapevole e a conoscenza dei report che parlano dell’esistenza di exploit per CVE-2022-0609”, ha dichiarato il colosso di Mountain View. La scoperta della falla è da attribuire a Adam Weidemann e Clément Lecigne del Threat Analysis Group di Google (TAG).
L’update del browser di Google è già disponibile
Ieri Google ha rilasciato i bug fix per 11 vulnerabilità presenti nel suo browser Chrome, inclusa la falla catalogata ad alta severità che preoccupa di più gli esperti di cyber security.
Le altre vulnerabilità riguardano:
- File Manager;
- ANGLE;
- GPU;
- un bug buffer overflow in Tab Groups;
- un overflow di Integer o di numeri interi in Mojo;
- un bug di implementazione inappropriata in Gamepad API.
La falla CVE-2022-0609 non è più solo a rischio-exploit, ma già sotto attacco nel mondo reale. Ma è già disponibile la prima patch per Chrome per sanare la prima falla zero-day di Google nel 2022. Dunque, l’update è urgente.
“La conoscenza di queste falle“, conclude Paganini, “rende le operazioni degli attori malevoli particolarmente insidiose e spesso trasparenti ai principali sistemi di difesa. Per questo motivo il ritrovamento di queste falle e il conseguente rilascio di patch è cruciale, così come la rapidità da parte degli utenti nell’installare gli aggiornamenti“.
Il roll-out della nuova versione è prevista nelle prossime settimane, ma poiché bisogna scaricare tempestivamente l’update, il consiglio è di installare l’update immediatamente da Chrome menu/Help/About Google Chrome.
Ricordiamo, infine, che l’anno scorso Google ha riportato 17 falle zero-day in Chrome.
