Vulnerabilità multiple in Google Chrome: aggiornare subito

Gli sviluppatori di Google correggono diverse falle zero-day scoperte in Chrome. Alcune di esse sono già sfruttate dai criminali informatici: importante aggiornare subito per evitare i rischi legati all'esecuzione di codice arbitrario potenzialmente pericoloso.
Michele Nasi
Pubblicato il 26 feb 2020
Vulnerabilità multiple in Google Chrome: aggiornare subito

Tra il 18 e il 24 febbraio Google ha rapidamente rilasciato due aggiornamenti per Chrome che consentono di risolvere, nel complesso, 6 vulnerabilità di sicurezza ad elevata criticità. Alcune di esse sono state scoperte internamente dai membri del team del Google Threat Analysis Group mentre altre sono state segnalate da ricercatori autonomi, premiati con somme tra 5.000 e 7.500 dollari a seconda della gravità del problema evidenziato.

Per ovvi motivi i tecnici di Google hanno preferito, al momento, non fornire alcun dettaglio tecnico sulle problematiche risolvibili scaricando e applicando l’ultimo aggiornamento di Chrome (release 80.0.3987.122 per Windows, macOS e Linux).
Si sa già, tuttavia, che alcuni exploit sarebbero già utilizzati attivamente da gruppi di criminali informatici per eseguire codice arbitrario (quindi malevolo) sui sistemi degli utenti finali.

Il consiglio è di digitare chrome://settings/help nella barra degli indirizzi di Chrome o scegliere la voce Guida, Informazioni su Google Chrome dal pulsante in alto a destra del browser (raffigurante tre puntini in colonna). In questo modo si forzerà il browser di Google a verificare e scaricare l’aggiornamento più recente. È buona norma, come spiegato nell’articolo Aggiornamento Chrome: perché effettuarlo e cosa significano le icone, non ignorare mai il colore dell’icona con una freccia che talvolta può comparire nell’interfaccia di Chrome in alto a destra e procedere tempestivamente con l’installazione delle nuove versioni messe a disposizione da Google.

Uno degli zero-day risolti dai tecnici di Google è indicato come una falla “type confusion in V8“. V8 è il componente di Chrome responsabile dell’elaborazione del codice JavaScript; questo tipo di bug, sfruttabile dai criminali informatici, fa sì che operazioni di esecuzione di codice arbitrario possano essere inizializzate modificando il tipo di codice con cui il browser ha a che fare.
Ci sono poi problematiche di tipo “use after free“: quando del codice tenta di accedere a un’area della memoria che è stata precedentemente ripulita, il programma può andare in crash o verificarsi l’esecuzione di codice arbitrario.
Completano “il quadro” bug che possono causare buffer overflow, anche in questo caso con i rischi legati al caricamento di codice potenzialmente dannoso.

Ti consigliamo anche

Compilare codice Python in WebAssembly: come fare e qual è l'utilità
Sviluppo

Compilare codice Python in WebAssembly: come fare e qual è l'utilità
Norton Private Browser: sicurezza e funzionalità
Offerte

Norton Private Browser: sicurezza e funzionalità
Differenze tra Edge e gli altri browser dal punto di vista degli sviluppatori
Browser

Differenze tra Edge e gli altri browser dal punto di vista degli sviluppatori
Il motore di ricerca green Ecosia lancia un nuovo browser
Browser

Il motore di ricerca green Ecosia lancia un nuovo browser
Link copiato negli appunti