Google rilascia una correzione di emergenza per l'ennesimo zero-day

Notizie
Di Pubblicato

È l'ottavo zero-day quest'anno

Google Chrome app is seen on an iPhone next to Edge and other web browser apps. Microsoft is using new prompts in Edge to try and stop users from downloading Chrome.
(Immagine:: Tada Images / Shutterstock)
  • Google ha applicato una patch a uno zero-day di Chrome ad alta gravità insieme a due difetti di gravità media.
  • La vulnerabilità è probabilmente legata a un buffer overflow di LibANGLE che abilita la corruzione della memoria e l'esecuzione di codice in remoto.
  • Questa è l'ottava correzione zero-day di Chrome quest'anno, sottolineando i continui attacchi mirati ai browser.

Google ha recentemente aggiornato il suo browser Chrome per proteggere da una vulnerabilità ad alta gravità che veniva abusata attivamente come zero-day.

In un avviso di sicurezza pubblicato all'inizio di questa settimana, il gigante dei browser ha dichiarato di aver corretto tre bug per Chrome, inclusi due di media gravità e uno ad alta gravità.

Riguardo a quest'ultimo, Google ha affermato di essere "a conoscenza dell'esistenza di un exploit attivo". Altri dettagli non sono stati divulgati, al fine di proteggere gli utenti durante il rilascio della patch. Questa è una prassi standard per Google: omettere dettagli chiave agli utenti, ma anche ai cybercriminali e ad altri hacker.

Il problema del browser

Non sono note le date esatte in cui è previsto il rilascio della patch, ma Google ha confermato che arriverà alla maggior parte degli utenti "nei prossimi giorni/settimane". Il canale Stabile è stato aggiornato alla versione 143.0.7499.109/.110 per Windows/Mac e alla 143.0.7499.109 per Linux, e al momento della nostra verifica, l'aggiornamento era già installato.

Non esiste una conferma ufficiale su quale sia il bug, ma secondo l'ID del bug di Chromium, è stato trovato nella libreria open-source di Google LibANGLE, come riporta BleepingComputer. LibANGLE è un livello di traduzione che converte le chiamate OpenGL ES in altre API grafiche, di solito Direct3D su Windows.1 Consente a browser e app di eseguire contenuti WebGL e OpenGL ES anche se il sistema operativo non supporta nativamente tali API.

La stessa fonte sostiene che il bug sia molto probabilmente una vulnerabilità di buffer overflow nel renderer Metal di ANGLE, causata da un dimensionamento improprio del buffer. I malintenzionati avrebbero potuto utilizzare il bug per corrompere la memoria, mandare in crash il browser, far trapelare dati sensibili o persino eseguire codice arbitrario in remoto.2

Questa è l'ottava vulnerabilità zero-day che Google ha corretto nel suo browser Chrome quest'anno. L'anno scorso, l'azienda ha risolto dieci vulnerabilità di questo tipo.

I browser sono uno dei software più utilizzati su un computer e come tali, sono sempre l'obiettivo di diverse campagne di hacking.

Via BleepingComputer

Sead Fadilpašić

Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.