Aggiorna immediatamente il browser Google Chrome per correggere il nuovo exploit zero-day

Google lunedì ha rilasciato un aggiornamento di sicurezza per il suo browser Chrome, che risolve problemi di sicurezza, stabilità e prestazioni, inclusa una vulnerabilità zero-day. Il problema interessa Chrome su Windows, Mac e Android.

Chrome per Windows è stato aggiornato alla versione 103.0.5060.114, che include quattro correzioni di sicurezza, di cui tre sono state evidenziate da Google e sono state fornite da ricercatori esterni:

• Alta CVE-2022-2294: Overflow del buffer heap in WebRTC. Segnalato da Jan Vojtesek del team Avast Threat Intelligence il 2022-07-01

• Alta CVE-2022-2295: Confusione di tipo in V8. Segnalato da avaue e Buff3tts presso S.S.L. il 2022-06-16

• Alta CVE-2022-2296: Uso dopo la liberazione in Chrome OS Shell. Segnalato da Khalil Zhani il 2022-05-19

La vulnerabilità ad alta gravità (CVE-2022-2294) è un bug di overflow del buffer heap, che esiste in WebRTC, il motore che conferisce al browser la capacità di comunicazione in tempo reale. Se sfruttata, questa vulnerabilità potrebbe consentire attacchi di denial-of-service o, in alcuni casi, l’esecuzione di codice arbitrario sul desktop, il che ha il potenziale di dare agli hacker accesso completo al tuo PC.

“Google è a conoscenza che un exploit per CVE-2022-2294 esiste in natura,” secondo l’avviso di sicurezza di Google di lunedì per Windows. “Il canale stabile è stato aggiornato a 103.0.5060.114 per Windows, che verrà distribuito nei prossimi giorni/settimane.”

Google afferma di non rivelare dettagli sugli exploit o sulle vulnerabilità fino a quando la maggior parte degli utenti non è aggiornata con una correzione. Potrebbe anche mantenere restrizioni se il bug esiste in una libreria di terze parti da cui dipendono progetti simili, ma che non hanno ancora risolto.

Oltre a correggere il difetto di overflow del buffer zero-day, Google lunedì ha anche rilasciato una patch per correggere altre due vulnerabilità ad alta gravità, che includono un bug di confusione di tipo nel motore JavaScript V8 tracciato come CVE-2022-2295 e un difetto di uso dopo la liberazione in Chrome OS Shell tracciato come CVE-2022-2296.

In aggiunta a Chrome per Windows, le correzioni sono state rilasciate anche in Chrome per Android versione 103.0.5060.71 per CVE-2022-2294 e CVE-2022-2295. Inoltre, il canale Chrome Extended Stable è stato aggiornato a 102.0.5005.148 per Windows e Mac per correggere CVE-2022-2294.

Se sei un utente di Chrome su Windows o Mac, si consiglia di aggiornare il browser il prima possibile. Per controllare se è disponibile un aggiornamento per te, puoi fare clic sul menu a tre punti in alto a destra della finestra di Chrome e andare su Menu di Chrome > Aiuto > Informazioni su Google Chrome oppure aprire la pagina di Chrome digitando chrome://settings/help nel tuo browser.

Con questo aggiornamento, Google ha affrontato il quarto difetto zero-day di Chrome nell’anno 2022, che include uno a febbraio (CVE-2022-0609), marzo (CVE-2022-1096) e aprile (CVE-2022-1364).