Google ha recentemente rilasciato aggiornamenti d’emergenza per correggere un’altra vulnerabilità zero day di Chrome, la quale è stata sfruttata in attacchi reali. Questa è l’ottava vulnerabilità di questo tipo corretta dall’inizio dell’anno, segnalando un continuo impegno nell’affrontare le minacce alla sicurezza informatica.
Dettagli della Vulnerabilità
La vulnerabilità, identificata come CVE-2023-7024, è stata scoperta e segnalata da Clément Lecigne e Vlad Stolyarov del Google’s Threat Analysis Group (TAG). Si tratta di un problema di overflow del buffer nell’heap nel framework WebRTC open-source, utilizzato da numerosi browser web, come Mozilla Firefox, Safari e Microsoft Edge, per fornire capacità di comunicazione in tempo reale (RTC) tramite API JavaScript.
Impatto e Risposta di Google
Google ha affermato di essere a conoscenza del fatto che CVE-2023-7024 è stata sfruttata come zero-day nel mondo reale, ma non ha ancora condiviso ulteriori dettagli sugli incidenti. L’aggiornamento di sicurezza, che risolve il bug, è stato rilasciato per gli utenti nel canale Desktop Stabile, con versioni aggiornate distribuite a livello globale per gli utenti Windows (120.0.6099.129/130) e per Mac e Linux (120.0.6099.129).
Precedenti Vulnerabilità Google Chrome Zero Day
Prima di questa, Google aveva già corretto altre sette vulnerabilità zero-day sfruttate in attacchi, tra cui CVE-2023-6345, CVE-2023-5217, CVE-2023-4863, CVE-2023-3079, CVE-2023-4762, CVE-2023-2136 e CVE-2023-2033. Alcune di queste, come la CVE-2023-4762, sono state identificate come bug zero-day utilizzati per distribuire spyware settimane dopo il rilascio delle patch da parte di Google.
L’ultimo aggiornamento di sicurezza di Google per Chrome sottolinea l’importanza di mantenere i software aggiornati per proteggersi da minacce informatiche in continua evoluzione. Gli utenti sono incoraggiati ad aggiornare manualmente i loro browser o a fare affidamento sugli aggiornamenti automatici per garantire la massima sicurezza.