Google identifica il decimo Zero-Day di Chrome sfruttato nel 2024

Google ha recentemente rivelato di aver corretto il decimo zero-day sfruttato nel 2024 su Chrome. Questo zero-day, tracciato come CVE-2024-7965, è stato segnalato da un ricercatore di sicurezza noto come TheDog ed è stato classificato come una vulnerabilità di alta gravità dovuta a un’implementazione inappropriata nel motore JavaScript V8 di Chrome. Questa falla potrebbe permettere a un attaccante remoto di sfruttare la corruzione della memoria heap tramite una pagina HTML appositamente creata.

L’aggiornamento che corregge questa vulnerabilità è stato distribuito con la versione di Chrome 128.0.6613.84/.85 per sistemi Windows e macOS e la versione 128.0.6613.84 per utenti Linux. Queste versioni sono state rilasciate nel canale stabile per desktop e sono disponibili per tutti gli utenti dal 21 agosto 2024.

Dettagli delle Vulnerabilità recenti e patch

Oltre a CVE-2024-7965, Google ha corretto un’altra vulnerabilità zero-day (CVE-2024-7971) la scorsa settimana, anch’essa sfruttata in attacchi reali. Entrambe le vulnerabilità riguardano il motore JavaScript V8, con CVE-2024-7971 causata da una confusione di tipo che potrebbe essere sfruttata per eseguire codice arbitrario.

Google ha implementato misure di sicurezza rapide per queste falle, ma ha limitato l’accesso ai dettagli dei bug fino a quando la maggior parte degli utenti non avrà applicato le correzioni. Inoltre, Google ha indicato che manterrà tali restrizioni se la vulnerabilità riguarda una libreria di terze parti non ancora corretta da altri progetti.

Lista delle altre Vulnerabilità Zero-Day Corrette nel 2024:

1. CVE-2024-0519: Accesso fuori dai limiti nella memoria del motore JavaScript V8 di Chrome.
2. CVE-2024-2887: Confusione di tipo nel WebAssembly (Wasm), sfruttabile per esecuzione di codice remoto.
3. CVE-2024-2886: Vulnerabilità di tipo use-after-free nell’API WebCodecs.
4. CVE-2024-3159: Lettura fuori dai limiti nel motore JavaScript V8 di Chrome.
5. CVE-2024-4671: Flaw use-after-free nel componente Visuals di Chrome.
6. CVE-2024-4761: Problema di scrittura fuori dai limiti nel motore JavaScript V8.
7. CVE-2024-4947: Debolezza di confusione di tipo nel motore JavaScript V8.
8. CVE-2024-5274: Confusione di tipo nel motore JavaScript V8, potenziale per crash o esecuzione di codice arbitrario.

Gli utenti di Google Chrome sono incoraggiati a verificare la versione del proprio browser e ad applicare immediatamente gli aggiornamenti di sicurezza per proteggere i propri sistemi da queste vulnerabilità.