Perché gli zero-day in Chrome sono pericolosi e come applicare gli ultimi aggiornamenti di emergenza

Secondo le più recenti statistiche condivise da GlobalStats StatsCounter, Chrome rimane saldamente il browser Web più utilizzato su scala mondiale con il 65% circa degli utenti totali. Sotto il 20% c’è Apple Safari mentre al 5% circa segue Mozilla Firefox.

Inutile dire, quindi, che la scoperta di vulnerabilità di sicurezza nel codice di Chrome può rappresentare un problema considerata la base di utenti che globalmente si serve del browser Google. Desta ancora più preoccupazione, la scoperta di zero-day nel browser, soprattutto quando si tratta di problemi di sicurezza già utilizzati per sferrare attacchi informatici.

Cos’è uno zero-day e perché bisogna attivarsi subito quando si parla di Chrome

Zero-day o 0-day è un termine che si riferisce a una vulnerabilità informatica che viene sfruttata dagli aggressori prima che il produttore del software ne venga a conoscenza e abbia avuto l’opportunità di rilasciare una patch o una correzione.

L’espressione deriva appunto dal fatto che l’attacco nasce “nel giorno zero” perché gli sviluppatori non hanno potuto beneficiare di alcun preavviso tra la scoperta della vulnerabilità, la sua segnalazione e l’effettivo sfruttamento da parte dei criminali informatici.

Vulnerabilità zero-day possono essere scoperte da aggressori ben organizzati e spesso lautamente finanziati da soggetti terzi: in questi casi i dettagli tecnici per sfruttare le falle di sicurezza vengono mantenuti segreti in modo da poter effettivamente utilizzare i bug scoperti e massimizzare gli effetti degli attacchi. È un bel vantaggio per gli aggressori che possono così battere sul tempo i produttori software e causare danni sui sistemi delle vittime con azioni che spesso risultano difficili da rilevare e contrastare. In assenza di una patch la linea di difesa viene infatti gestite dal sistema operativo e dalle principali soluzioni per la sicurezza informatica: non sempre, però, le minacce vengono rilevate e bloccate. In Windows, le stesse regole ASR (Attack Surface Reduction) di Microsoft Defender possono contribuire alla protezione della macchina ma l’assenza di un aggiornamento correttivo può comunque rappresentare un problema.

Gli zero-day possono essere scoperti in proprio dai ricercatori di sicurezza oppure studiando gli attacchi in corso: in entrambi i casi i produttori vengono informati del problema affinché possano mettersi al lavoro per rilasciare patch correttive.

Nel caso di Chrome (come di qualunque altro browser…) la scoperta di uno zero-day rappresenta un grave problema che deve essere necessariamente gestito nel più breve tempo possibile. Il browser è infatti uno strumento onnipresente su qualunque sistema che viene utilizzato ogni giorno per gestire dati personali e sensibili.

Installare gli aggiornamenti di emergenza di Chrome in due clic

Su desktop l’aggiornamento di Chrome viene effettuato in automatico, almeno nella configurazione predefinita del browser. Tuttavia, l’applicazione delle modifiche diventa effettiva soltanto quando il browser viene chiuso quindi di nuovo aperto. Quando compare il pulsante Aggiorna nella parte superiore del browser, a destra della barra di navigazione, è quindi bene procedere subito con l’installazione dell’aggiornamento.

In alternativa, per installare gli aggiornamenti di Chrome basta fare clic sui tre puntini in alto a destra, scegliere Guida, Informazioni su Google Chrome, lasciare che venga effettuato il download della release più recente e infine acconsentire al riavvio del browser.

Ancora, è possibile digitare direttamente chrome://settings/help nella barra degli indirizzi di Chrome.

Ad aprile 2023, Google ha rilasciato due aggiornamenti di emergenza per Chrome, i primi due di quest’anno. Il primo corregge la falla di sicurezza CVE-2023-2033, il secondo CVE-2023-2136: entrambi i bug sono già sfruttati per condurre attacchi.

Nel primo caso i tecnici di Google parlano di Type Confusion in V8 ovvero di una vulnerabilità che affligge il motore JavaScript V8  e che consiste nell’errata gestione dei tipi di dati durante l’esecuzione delle applicazioni Web consentendo a un attaccante di manipolare o, appunto, “confondere” i tipi di dati. Vulnerabilità di questo tipo possono essere utilizzate per eseguire codice malevolo od ottenere accesso non autorizzato al sistema dell’utente. Un aggressore remoto può creare una pagina Web dannosa che sfrutta questa vulnerabilità per eseguire codice arbitrario sul sistema dell’utente non appena la vittima visita la pagina con una versione vulnerabile di Chrome. Da qui l’importanza di procedere rapidamente all’installazione degli aggiornamenti, anche perché il codice malevolo può essere caricato attraverso elementi integrati (embeddati) all’interno di pagine Web del tutto legittime.

La seconda vulnerabilità critica è una falla di tipo integer overflow: in questo caso, nella gestione di operazioni tra numeri interi, il risultato dell’operazione supera il limite massimo di rappresentazione per il tipo di dato usato. Quando ciò avviene, un aggressore può essere in grado di eseguire codice malevolo o guadagnare l’accesso al sistema della vittima.

Anche in questo l’attaccante potrebbe creare una pagina Web dannosa che sfrutta la vulnerabilità integer overflow ed eseguire codice quando la pagina stessa viene visitata utilizzando il browser Chrome.

CVE-2023-2136 si riferisce a un problema di sicurezza in Skia, una libreria grafica 2D multipiattaforma open source di proprietà di Google scritta in C++. Skia fornisce a Chrome un set di API per il rendering di grafica, testo, forme, immagini e animazioni ed è considerato un componente chiave della pipeline di rendering del browser.