Google Risolve la Terza Vulnerabilità Zero-day di Chrome in Una Settimana

Google lunedì ha rilasciato un aggiornamento di sicurezza di emergenza per il suo browser Chrome per risolvere un nuovo zero-day che è stato sfruttato nel mondo reale.

Questa è la terza vulnerabilità zero-day di Chrome sfruttata che è stata corretta nell’arco di una settimana e il settimo exploit zero-day che prende di mira gli utenti di Chrome quest’anno.

La vulnerabilità, a cui è stato assegnato l’identificativo CVE ‘CVE-2024-4947’, ha colpito il Type Confusion nel V8 JavaScript e nel motore WebAssembly in Google Chrome, un componente importante responsabile dell’esecuzione di app web e siti web.

Questa vulnerabilità zero-day ad alta gravità può essere particolarmente pericolosa.

Permette a un attaccante remoto di eseguire codice arbitrario all’interno di un sandbox tramite una pagina HTML creata ad hoc, compromettendo possibilmente dati sensibili e prendendo il controllo dei dispositivi mirati.

Il difetto è stato identificato dai ricercatori di Kaspersky, Vasily Berdnikov e Boris Larin, e segnalato a Google il 13 maggio 2024.

“Google è a conoscenza che un exploit per CVE-2024-4947 esiste nel mondo reale,” ha scritto il gigante della ricerca in un avviso di sicurezza pubblicato mercoledì.

L’azienda ha rapidamente affrontato il difetto zero-day con il rilascio di Chrome 125.0.6422.60 (Linux) e 125.0.6422.60/.61 (Windows, Mac), che porta diverse correzioni e miglioramenti ai browser.

Le nuove versioni dovrebbero essere distribuite a tutti gli utenti come parte di un aggiornamento del canale stabile nei prossimi giorni e settimane.

Sebbene Google abbia confermato che il difetto CVE-2024-4947 è stato sfruttato nel mondo reale, l’azienda non ha fornito ulteriori informazioni su questi attacchi per evitare ulteriori sfruttamenti da parte di altri criminali informatici.

“L’accesso ai dettagli del bug e ai link potrebbe essere mantenuto ristretto fino a quando la maggior parte degli utenti non sarà aggiornata con una correzione. Manteneremo anche restrizioni se il bug esiste in una libreria di terze parti da cui dipendono altri progetti, ma che non hanno ancora risolto,” ha dichiarato Google.

Sebbene Chrome si aggiorni automaticamente quando sono disponibili patch di sicurezza, si consiglia agli utenti di aggiornare manualmente alla versione 125.0.6422.60 per Linux e alla versione 125.0.6422.60/.61 per Windows e macOS per proteggersi contro potenziali attacchi informatici.