Google ha rivelato che l’aggiornamento a Windows 10 1903 rilasciato da Microsoft è responsabile di un importante problema di sicurezza che riguarda tutti i web browser basati su Chromium.
La falla, nello specifico, riguarda il Sandbox di Chromium. Questo dovrebbe permettere agli utenti Windows di usare applicazioni e estensioni in un ambiente separato da Windows. Grazie ad esso, un’ipotetica app contenente un virus, non sarebbe in grado di accedere e quindi infettare il sistema operativo.
- Windows 10, sconti e offerte
- 100 problemi di Windows 10 e come risolverli
- 10 app essenziali e gratuite per Windows 10
Si tratta di uno strumento di indubbia utilità, ma ad un certo punto Microsoft ha aggiunto una cosiddetta “security feature bypass vulnerability” (come viene definita nei relativi avvisi di sicurezza), ovvero una vulnerabilità che se sfruttata da un malintenzionato potrebbe permettere ad un’app presente nel sandbox di eseguire il codice su un diverso livello di integrità.
In italiano?
Essenzialmente significa che se un malintenzionato riuscisse a sfruttare questa vulnerabilità, potrebbe permettere ad un’applicazione che ha il permesso di eseguire codice unicamente all'interno del Sandbox di “salire di livello”, superando il limite imposto da Chromium e esponendo il PC. In pratica questa falla rende totalmente nullo il Sandbox, creato proprio allo scopo di dividere i due ambienti.
Come segnalato in un post redatto dal team di Google’s Project Zero, “Il Sandbox è concepito per utilizzare i Restricted Tokens per limitare i privilegi” bypassando questo sistema di filtraggio delle app possono sorgere seri rischi per il PC.
Varrebbe la pena di leggere l’intero post, pur essendo scritto in inglese con un linguaggio piuttosto tecnico, visto che spiega in maniera dettagliata come funziona la vulnerabilità in questione.
Il fatto che colpisca Chrome, il browser più usato al mondo, è preoccupante anche per chi non utilizza le funzioni offerte dal Sandbox. Questo caso dimostra come i problemi di cui soffrono gli aggiornamenti di Windows 10 stiano compromettendo il lavoro di altri sviluppatori software.
Non si tratta solo di Chrome, ma di tutti i browser che usano il motore Chromium. Per assurdo, tra questi c’è anche Microsoft Edge, il browser predefinito di Windows.
Probabilmente la cosa che stupisce di più è il fatto che Microsoft abbia rilasciato una patch per risolvere il problema (Windows 10 KB4549951) e che quest’ultima abbia causato gravi problemi ad alcuni utenti.
Abbiamo contattato Microsoft per chiedere chiarimenti a riguardo e vi faremo sapere non appena avremo ottenuto più informazioni sulla vicenda.
