Google ha rilasciato una patch per risolvere una vulnerabilità zero-day in un componente delle funzionalità di comunicazione in tempo reale di Chrome.
L’ultimo aggiornamento di Chrome (versione 103.0.5060.114) per Windows affronta una minaccia, denominata CVE-2022-2294 (high-severity), che secondo Google rappresenta un rischio critico per la sicurezza. La vulnerabilità riguarda l’implementazione del browser di WebRTC, uno standard utilizzato nelle applicazioni video e vocali per le comunicazioni in tempo reale.
Google ha avvertito gli utenti che la falla “esiste in natura“, il che significa che gli aggressori potrebbero averla già sfruttata. È stata scoperta per la prima volta da Jan Vojtesek del team Avast Threat Intelligence il 1° luglio.
La patch sarà disponibile per gli utenti di Chrome su Windows e macOS nelle prossime settimane. È stata inoltre rilasciata una patch per Chrome(si apre in una nuova scheda) per telefoni Android (versione 103.0.5060.71).
Google non ha condiviso alcun dettaglio sulla vulnerabilità finché la correzione non raggiungerà la maggior parte degli utenti.
Secondo Bleeping Computer, la vulnerabilità può portare a crash del programma e all’esecuzione di codice arbitrario. Peggio ancora, gli aggressori possono aggirare il software di sicurezza se il codice è già stato eseguito.
La nuova patch è il quarto fix zero-day di Google per Chrome quest’anno. A febbraio, marzo e aprile, l’azienda ha rilasciato patch separate per varie vulnerabilità, alcune delle quali sono state sfruttate da hacker statali sostenuti dalla Corea del Nord.
