Martedì Google ha distribuito delle patch per il browser Chrome per desktop per contenere una falla zero-day ad alta gravità attivamente sfruttata in natura.
Tracciato come CVE-2022-2856, il problema è stato descritto come un caso di insufficiente convalida di input non attendibili in Intents. I ricercatori di sicurezza Ashley Shen e Christian Resell del Google Threat Analysis Group hanno segnalato la falla il 19 luglio 2022.
Come di solito accade, il gigante tecnologico si è astenuto dal condividere ulteriori dettagli sulla falla fino a quando la maggior parte degli utenti non sarà stata aggiornata. “Google è a conoscenza dell’esistenza di un exploit per CVE-2022-2856“, ha dichiarato in una breve nota.
L’ultimo aggiornamento risolve altre 10 falle di sicurezza, la maggior parte delle quali riguardano bug di tipo use-after-free in vari componenti come FedCM, SwiftShader, ANGLE e Blink, tra gli altri. È stata inoltre risolta una vulnerabilità di heap buffer overflow in Downloads.
Questo sviluppo segna la quinta vulnerabilità zero-day in Chrome che Google ha risolto dall’inizio dell’anno.
- CVE-2022-0609 – Use-after-free in Animation
- CVE-2022-1096 – Type confusion in V8
- CVE-2022-1364 – Type confusion in V8
- CVE-2022-2294 – Heap buffer overflow in WebRTC
Si raccomanda agli utenti di aggiornare alla versione 104.0.5112.101 per macOS e Linux e 104.0.5112.102/101 per Windows per mitigare le potenziali minacce.
