L'ANALISI TECNICA

Chrome, scoperta vulnerabilità zero-day già usata in attacchi reali: installiamo subito la patch

Google ha rilasciato nuovi aggiornamenti di sicurezza per affrontare cinque vulnerabilità nel browser Chrome: tra queste anche una zero-day di alta gravità, già sfruttata in natura, che potrebbe portare all’esecuzione di codice arbitrario o alla corruzione dei dati. Ecco tutti i dettagli

14 Dic 2021
Paolo Tarsitano

Editor Cybersecurity360.it

È stata rilasciata la versione 96.0.4664.110 per Windows, Mac e Linux di Chrome: il nuovo aggiornamento corregge cinque vulnerabilità, di cui una zero-day classificata con indice di gravità elevato che, secondo il bollettino di sicurezza pubblicato da Google, sarebbe già sfruttata attivamente in rete.

La vulnerabilità, tracciata come CVE-2021-4102, è di tipo use-after-free (consente, quindi, agli aggressori di caricare codice dannoso in una posizione di memoria che è stata liberata una volta che i suoi contenuti precedenti non sono più in uso) ed è stata identificata nel motore V8 JavaScript e WebAssembly.

Il suo exploit potrebbe avere gravi conseguenze che vanno dalla corruzione di dati validi all’esecuzione di codice arbitrario.

È importante aggiornare subito Google Chrome

La scoperta e la segnalazione della nuova vulnerabilità zero-day in Google Chrome sono state accreditate ad un ricercatore anonimo.

Al momento non si hanno ulteriori dettagli sulle tecniche utilizzate dai criminal hacker per abusare della vulnerabilità nei cyber attacchi finora identificati. La conferma che ciò è accaduto e potrà ancora accadere è data dalla stessa Google, che in una nota ufficiale ha detto di essere consapevole del fatto che un exploit per CVE-2021-4102 esiste già in natura.

WHITEPAPER
Canale ICT: 5 misure di successo automatizzare il business
Sicurezza
Software

La mancata comunicazione di ulteriori dettagli tecnici sulla vulnerabilità zero-day di Chrome segue la policy di Google mirata a prevenire che un eventuale divulgazione pubblica dell’exploit consenta ad altri attori di minacce di sfruttare il difetto di sicurezza prima che la maggioranza degli utenti sia riuscita ad aggiornare il proprio browser.

La raccomandazione è dunque quella di aggiornare Chrome il prima possibile alla nuova versione 96.0.4664.110. Per farlo, è sufficiente spostarsi nel menu Impostazioni, cliccare poi sulla voce Aiuto e selezionare l’opzione Informazioni su Google Chrome, quindi seguire le istruzioni a video per scaricare e installare il pacchetto di aggiornamenti.

In questo modo potremo mitigare qualsiasi rischio potenziale di sfruttamento attivo della vulnerabilità zero-day.

Le altre vulnerabilità corrette in Chrome

Come dicevamo, l’ultima versione di Chrome contiene un pacchetto di aggiornamenti per altre quattro vulnerabilità:

  1. CVE-2021-4098, vulnerabilità critica dovuta a duna insufficiente validazione dei dati in Mojo;
  2. CVE-2021-4099, indice di gravità elevato, vulnerabilità di tipo use-after-free in Swiftshader;
  3. CVE-2021-4100, indice di gravità elevato, problema del ciclo di vita degli oggetti in Angle;
  4. CVE-2021-4101, indice di gravità elevato, vulnerabilità di tipo heap buffer overflow in Swiftshader.

Da segnalare, infine, che la vulnerabilità zero-day CVE-2021-4102 appena corretta con la nuova versione di Chrome è la diciassettesima scoperta dall’inizio dell’anno:

  • CVE-2021-21148 scoperta il 4 febbraio 2021;
  • CVE-2021-21166 scoperta il 3 marzo 2021;
  • CVE-2021-21193 scoperta il 12 marzo 2021;
  • CVE-2021-21220 scoperta il 13 aprile 2021;
  • CVE-2021-21224 scoperta il 20 aprile 2021;
  • CVE-2021-30551 scoperta il 9 giungo 2021;
  • CVE-2021-30554 scoperta il 17 giugno 2021
  • CVE-2021-30554 scoperta il 17 giugno 2021;
  • CVE-2021-30563 scoperta il 15 luglio 2021;
  • CVE-2021-30632 e CVE-2021-30633 scoperte il 13 settembre 2021;
  • CVE-2021-37973 scoperta il 24 settembre 2021;
  • CVE-2021-37975 e CVE-2021-37976 scoperte il 13 ottobre 2021;
  • CVE-2021-38000 e CVE-2021-38003 scoperte il 28 ottobre 2021.

È importante, dunque, ribadire che una delle regole di base della sicurezza informatica è quella di tenere sempre costantemente aggiornate le applicazioni di uso quotidiano: installare il prima possibile le patch per le vulnerabilità riscontrate è la prima azione utile per mitigare il rischio di un attacco.

@RIPRODUZIONE RISERVATA

Articolo 1 di 2