UPDATE DI SICUREZZA

Google Chrome, falla zero-day già sotto attacco: update urgente

Chrome ha una vulnerabilità ad alta severità già sfruttata da attaccanti. Bisogna aggiornare subito il browser di Google all’ultima versione che corregge, in totale, undici falle. L’update è già disponibile

15 Feb 2022
C
Mirella Castigli

Giornalista

Nel browser Chrome la prima falla zero-day del 2022 non è più solo a rischio exploit, ma già sotto attacco. È necessario aggiornare subito il browser di Google, per evitare che attaccanti sfruttino la vulnerabilità ad alta severità

“Si tratta della prima falla zero-day in Chrome risolta quest’anno”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus

Chrome, falla zero-day già sfruttata da attaccanti

Secondo l’analista, “due aspetti importanti relativi a questa vulnerabilità vanno evidenziati:

  • innanzitutto, il fatto che siano stati proprio esperti di Google a trovarla: sebbene si tratti di una falla che è stata sfruttata in attacchi in rete, conferma dell’attenzione dell’azienda agli aspetti di sicurezza;
  • secondo aspetto da sottolineare, è come attori malevoli siano in grado di individuare e sfruttare falle zero-day presenti in software di largo consumo come il popolare browser Chrome”.

Si tratta di una vulnerabilità ad alta severità, tracciata come CVE-2022-0609 e descritta come use-after-free (consente, cioè, agli aggressori di caricare codice dannoso in una posizione di memoria che è stata liberata una volta che i suoi contenuti precedenti non sono più in uso).

WHITEPAPER
Come cambia il Retail tra ecommerce, piccoli rivenditori e la spinta al cashless

La vulnerabilità risiede nella componente Animation. In caso di exploit riuscito, potrebbe provocare corruzione di dati validi ed esecuzione di codice arbitrario sui sistemi affetti dal bug.

Ma l’altro grave pericolo riguarda il rischio di attacchi Denial of Service (Dos).

La falla affligge le versioni precedenti alla 98.0.4758.102 del browser Google Chrome per i sistemi operativi Windows, macOS e Linux.

Chrome, falla zer-day sotto attacco: update urgente.

“Google è consapevole e a conoscenza dei report che parlano dell’esistenza di exploit per CVE-2022-0609”, ha dichiarato il colosso di Mountain View. La scoperta della falla è da attribuire a Adam Weidemann e Clément Lecigne del Threat Analysis Group di Google (TAG).

L’update del browser di Google è già disponibile

Ieri Google ha rilasciato i bug fix per 11 vulnerabilità presenti nel suo browser Chrome, inclusa la falla catalogata ad alta severità che preoccupa di più gli esperti di cyber security.

Le altre vulnerabilità riguardano:

  • File Manager;
  • ANGLE;
  • GPU;
  • un bug buffer overflow in Tab Groups;
  • un overflow di Integer o di numeri interi in Mojo;
  • un bug di implementazione inappropriata in Gamepad API.

La falla CVE-2022-0609 non è più solo a rischio-exploit, ma già sotto attacco nel mondo reale. Ma è già disponibile la prima patch per Chrome per sanare la prima falla zero-day di Google nel 2022. Dunque, l’update è urgente.

“La conoscenza di queste falle“, conclude Paganini, “rende le operazioni degli attori malevoli particolarmente insidiose e spesso trasparenti ai principali sistemi di difesa. Per questo motivo il ritrovamento di queste falle e il conseguente rilascio di patch è cruciale, così come la rapidità da parte degli utenti nell’installare gli aggiornamenti“.

Il roll-out della nuova versione è prevista nelle prossime settimane, ma poiché bisogna scaricare tempestivamente l’update, il consiglio è di installare l’update immediatamente da Chrome menu/Help/About Google Chrome.

Ricordiamo, infine, che l’anno scorso Google ha riportato 17 falle zero-day in Chrome.

Update urgente per la nuova versione di Google Chrome.
@RIPRODUZIONE RISERVATA

Articolo 1 di 4