Google ha rilasciato lunedì degli aggiornamenti di sicurezza per correggere un grave difetto nel suo browser web Chrome, che, secondo quanto riferito, viene attivamente sfruttato. La vulnerabilità, tracciata come CVE-2023-3079, è stata descritta come un bug di confusione di tipo nel motore JavaScript V8. Clement Lecigne del Google’s Threat Analysis Group (TAG) è stato accreditato per aver segnalato il problema il 1 giugno 2023.
Dettagli sulla vulnerabilità
La “confusione di tipo in V8 in Google Chrome prima della versione 114.0.5735.110 ha permesso a un attaccante remoto di sfruttare potenzialmente la corruzione dello heap tramite una pagina HTML appositamente creata”, secondo la National Vulnerability Database (NVD) del NIST. Il gigante della tecnologia, come di consueto, non ha rivelato dettagli sulla natura degli attacchi, ma ha notato che è “consapevole che esiste un exploit per CVE-2023-3079 in natura”.
Altre vulnerabilità Zero-Day in Chrome
Con l’ultimo sviluppo, Google ha affrontato un totale di tre vulnerabilità zero-day attivamente sfruttate in Chrome dall’inizio dell’anno:
- CVE-2023-2033 (punteggio CVSS: 8.8) – Confusione di tipo in V8
- CVE-2023-2136 (punteggio CVSS: 9.6) – Overflow di interi in Skia
Raccomandazioni per gli utenti
Si raccomanda agli utenti di aggiornare alla versione 114.0.5735.110 per Windows e 114.0.5735.106 per macOS e Linux per mitigare le potenziali minacce. Anche gli utenti di browser basati su Chromium come Microsoft Edge, Brave, Opera e Vivaldi sono invitati ad applicare le correzioni non appena diventano disponibili.