Google Avvisa Gli Utenti Di Installare Subito L'Aggiornamento Di Emergenza Di Chrome

La scorsa settimana, Google ha rilasciato un aggiornamento di sicurezza di emergenza per tutti i suoi 3,2 miliardi di utenti di Chrome per affrontare una vulnerabilità zero-day ad alta gravità che viene attivamente sfruttata nel mondo.

Google ha distribuito la nuova versione di Chrome 112.0.5615.121 per sistemi Windows, Mac e Linux, come aggiornamento di emergenza, il che significa che il problema di sicurezza nel browser Web è serio.

L’aggiornamento di emergenza di Chrome alla versione 112.0.5615.121 è unico, poiché risolve solo un singolo difetto di sicurezza. Di conseguenza, gli utenti sono invitati ad applicare l’aggiornamento al loro browser Chrome il prima possibile e a bloccare i tentativi di attacco.

La vulnerabilità zero-day è stata segnalata a Google da Clément Lecigne del Google Threat Analysis Group (TAG) l’11 aprile 2023.

In un annuncio di aggiornamento del canale stabile di Chrome per desktop, pubblicato il 14 aprile 2023, Google conferma di essere “a conoscenza che un exploit per CVE-2023-2033 esiste nel mondo.”

Cos’è CVE-2023-2033?

A questo punto, Google non ha fornito pubblicamente dettagli esatti su cosa sia l’aggiornamento di sicurezza – CVE-2023-2033 – se non che è un “Confusione di Tipo in V8.” Questo si riferisce al motore JavaScript impiegato da Chrome.

Un errore di confusione di tipo si verifica quando il programma utilizza un tipo di metodo per allocare una risorsa, oggetto o variabile utilizzando un tipo e poi accede a quella risorsa utilizzando un metodo di tipo diverso e incompatibile, risultando in un accesso alla memoria fuori dai limiti.

Questa vulnerabilità può consentire a un attaccante remoto di sfruttare potenzialmente la corruzione dell’heap tramite una pagina HTML creata ad hoc, afferma la pagina CVE.

Il gigante della ricerca ha dichiarato che “l’accesso ai dettagli del bug e ai link potrebbe essere mantenuto riservato fino a quando la maggior parte degli utenti non sarà aggiornata con una correzione.” In altre parole, come precauzione, Google non divulgherà dettagli tecnici della vulnerabilità fino a quando l’aggiornamento di emergenza non sarà in grado di proteggere la maggior parte dei 3,2 miliardi di utenti di Chrome.

Ha anche notato: “Manteneremo anche restrizioni se il bug esiste in una libreria di terze parti da cui dipendono altri progetti in modo simile, ma non sono ancora stati corretti.”

Mentre il browser web controllerà automaticamente nuovi aggiornamenti, puoi anche controllare nuovi aggiornamenti andando al menu dei tre punti in Chrome nell’angolo in alto a destra, cliccando su “Aiuto”, e poi “Informazioni su Chrome”.

La patch di sicurezza per Google Chrome dovrebbe essere distribuita a tutti gli utenti di Chrome nei prossimi giorni o settimane.

Google ha ringraziato i ricercatori di sicurezza che hanno notificato all’azienda la vulnerabilità. “Vorremmo anche ringraziare tutti i ricercatori di sicurezza che hanno lavorato con noi durante il ciclo di sviluppo per prevenire che i bug di sicurezza raggiungano mai il canale stabile,” ha dichiarato l’azienda.