Google ha rilasciato un aggiornamento di sicurezza di emergenza per la versione desktop del browser web Chrome, che risolve l’ottava vulnerabilità zero-day sfruttata negli attacchi di quest’anno. La falla ad alta gravità è classificata come CVE-2022-4135 ed è un heap buffer overflow nella GPU, scoperto da Clement Lecigne del Threat Analysis Group di Google il 22 novembre 2022. “Google è consapevole dell’esistenza di un exploit per CVE-2022-4135”, si legge nell’avviso di aggiornamento. Poiché gli utenti hanno bisogno di tempo per applicare l’aggiornamento di sicurezza alle loro installazioni di Chrome, Google ha nascosto i dettagli della vulnerabilità per evitare che si espanda il suo sfruttamento malevolo. “L’accesso ai dettagli del bug e ai link potrebbe essere limitato fino a quando la maggior parte degli utenti non verrà aggiornata con una correzione. Inoltre, manterremo le restrizioni se il bug è presente in una libreria di terze parti da cui dipendono altri progetti simili, ma che non è ancora stato risolto.”
L’heap buffer overflow è una vulnerabilità della memoria che comporta la scrittura di dati in posizioni proibite (di solito adiacenti) senza controllo.
Gli aggressori possono utilizzare l’heap buffer overflow per sovrascrivere la memoria di un’applicazione e manipolarne il percorso di esecuzione, con conseguente accesso illimitato alle informazioni o esecuzione di codice arbitrario. Si consiglia agli utenti di Chrome di aggiornare alla versione 107.0.5304.121/122 per Windows e 107.0.5304.122 per Mac e Linux, che risolve la CVE-2022-4135.
Per aggiornare Chrome, accedere a Impostazioni → Informazioni su Chrome → Attendere che il download dell’ultima versione sia terminato → Riavviare il programma.
