Venerdì, Google ha rilasciato un aggiornamento di emergenza per il suo browser Chrome, al fine di affrontare una grave vulnerabilità zero-day.
Dettagli sulla vulnerabilità zero-day
La vulnerabilità, identificata come CVE-2023-2033, potrebbe essere sfruttata da una pagina web dannosa per eseguire codice arbitrario nel browser. Ciò significa che visitare un sito web malevolo con un browser vulnerabile potrebbe portare al compromesso del dispositivo. Si dice che il codice di exploit per questa vulnerabilità sia già in circolazione e potrebbe essere utilizzato da malintenzionati.
Quali versioni di Chrome sono interessate e come aggiornare
Il bug di tipo-confusione ad alta gravità è presente almeno nelle versioni desktop di Chrome precedenti alla 112.0.5615.121. Google ha rilasciato questa versione il 14 aprile per Windows, Mac e Linux per correggere la vulnerabilità, che risiede nel motore JavaScript V8. È consigliabile installare la nuova versione il prima possibile, sia automaticamente che manualmente.
Scoperta e segnalazione della vulnerabilità
La vulnerabilità è stata scoperta e segnalata da Clément Lecigne del Threat Analysis Group di Google l’11 aprile, secondo quanto riportato dalla stessa azienda. “Google è a conoscenza che un exploit per CVE-2023-2033 esiste in natura”, ha aggiunto l’azienda. Questa correzione rappresenta il primo zero-day in Chrome risolto da Google quest’anno.
Ulteriori correzioni incluse nell’aggiornamento di Chrome
L’aggiornamento di Chrome include anche “varie correzioni provenienti da audit interni, fuzzing e altre iniziative”.
Altre notizie di sicurezza informatica
Oltre all’aggiornamento di emergenza di Chrome, la scorsa settimana sono emerse altre notizie di sicurezza, tra cui un’estorsione nei confronti di Western Digital e la creazione del Hacking Policy Council e del Security Research Legal Defense Fund, sostenuti da Google e altri attori del settore tecnologico, per proteggere i ricercatori di sicurezza che agiscono in buona fede.