Nella giornata di ieri Google ha avviato il rilascio di un aggiornamento di sicurezza di emergenza per risolvere una vulnerabilità zero-day di Chrome che risulta essere già attivamente sfruttata in attacchi condotti dall’inizio dell’anno.
È la stessa Google a confermare, nel relativo bollettino di sicurezza, che in rete circola l’exploit per la CVE-2023-4863.
La versione aggiornata di Chrome è attualmente in distribuzione sia per gli utenti del canali “Stable” sia per quelli del canale “Extended stable”. Secondo le stime di Google, il rilascio della patch sarà completato entro le prossime settimane.
Allarme estensioni di Chrome: password memorizzate in chiaro a rischio furto
Indice degli argomenti
I dettagli della vulnerabilità zero-day in Chrome
Secondo quanto riportato da Google, la vulnerabilità è di tipo buffer overflow e, se sfruttata, potrebbe consentire a un utente malintenzionato remoto di eseguire codice arbitrario sulla macchina target, riuscendo così a ottenere la compromissione e il successivo crash del sistema.
Da segnalare che lo sfruttamento della vulnerabilità zero-day in Chrome può avvenire semplicemente inducendo la vittima a consultare pagine web opportunamente predisposte.
Le versioni di Chrome affette dalla vulnerabilità zero-day sono le seguenti:
- versioni precedenti alla 116.0.5845.187/.188 per Windows
- versioni precedenti alla 116.0.5845.187 per Mac e Linux
Il problema di sicurezza è stato rilevato dall’Apple Security Engineering and Architecture (SEAr) e dal Citizen Lab della Munk School dell’Università di Toronto e successivamente segnalato lo scorso 6 settembre 2023.
Al momento, Google ha deciso di limitare l’accesso ai dettagli tecnici sulla vulnerabilità e degli attacchi già rilevati almeno fino a quando la maggior parte degli utenti non avrà aggiornato il proprio browser.
Sempre Google ha inoltre dichiarato che manterrà “le restrizioni anche nel caso in cui il bug sia presente in una libreria di terze parti da cui dipendono altri progetti simili, ma che non è ancora stato risolto”.
Una scelta responsabile per consentire agli utenti di Chrome di aggiornare il browser per sventare gli attacchi prima del rilascio di ulteriori specifiche tecniche che potrebbero consentire ad altri attori delle minacce di creare i propri exploit e distribuirli in rete.
Finti aggiornamenti Chrome diffondono malware: come riconoscerli
Come aggiornare Chrome all’ultima versione
Il consiglio, dunque, è quello di aggiornare Chrome il prima possibile alla versione 116.0.5845.187/.188 sui sistemi Windows e alla 116.0.5845.187 sui sistemi Mac e Linux.
Per installare manualmente l’aggiornamento, è sufficiente avviare Chrome e accedere al menu Guida/Informazioni su Google Chrome: il browser controllerà la presenza di nuovi aggiornamenti e li installerà automaticamente senza richiedere l’interazione dell’utente dopo un riavvio.
