La vulnerabilità scoperta nel web browser Google Chrome è stata subito etichettata dal gigante delle ricerche come ad "alto rischio". per fortuna che l'ultima patch l'ha sistemata.
Google ha rilasciato un importante aggiornamento di Google Chrome versione 88. L’update corregge una grave vulnerabilità zero-day di V8 che sarebbe già stata sfruttata attivamente e che l’azienda di Mountain View sembra voler risolvere con una certa urgenza.
Una vulnerabilità zero-day è una falla in un sistema informatico che è sconosciuta a coloro che dovrebbero essere interessati a mitigare la vulnerabilità, in questo caso Google. Finché la vulnerabilità non viene mitigata, gli hacker possono sfruttarla per accedere ai dati degli utenti, provocare disservizi o causare chissà quale altro genere di problema.
Google ha rilasciato la versione 88.0.4324.150 di Chrome nella giornata di ieri ed è caldamente consigliato recarsi in Impostazioni > Guida > Informazioni su Google Chrome dall’interno del browser per scaricare l’aggiornamento. L’aggiornamento è stato reso disponibile per le piattaforme Windows, Mac e Linux.
“Google è consapevole di report nei quali è indicato che un exploit per CVE-2021-21148 esiste nel mondo reale”, si legge nell’annuncio relativo all’aggiornamento. La vulnerabilità scoperta da Mattias Buelens il 24 di gennaio scorso è stata subito etichettata dal gigante delle ricerche come ad “alto rischio”. Essa è descritta come un bug di heap buffer overflow in V8, il motore WebAssembly e JavaScript ad alte prestazioni open-source e basato su C++ di Google.
Mentre solitamente i buffer overflow portano a crash del software, possono anche essere sfruttati da aggressori per eseguire codice arbitrario su sistemi che eseguono software vulnerabile. Non sono stati condivisi dettagli sugli attacchi che sfruttano la “zero-day”.
“L’accesso ai dettagli del bug e ai link potrebbe essere mantenuto limitato fino a quando la maggioranza degli utenti non si aggiorna con una correzione“, aggiunge Google. “Manterremo le restrizioni anche se il bug esiste in una libreria di terze parti da cui altri progetti dipendono allo stesso modo, ma che non hanno ancora risolto“.
Sembra quindi che Google sia così preoccupata da questa vulnerabilità da voler tenere per sé i dettagli a riguardo fino a quando la maggior parte degli utenti risulterà protetta. Se state leggendo questo articolo, il nostro invito è nuovamente quello di correre ad aggiornare il vostro browser!