Venerdì, Google ha iniziato a distribuire un aggiornamento di emergenza del canale stabile per il browser Chrome su Windows, Mac e Linux per correggere un exploit zero-day esistente in natura. Se non l’avete ancora fatto, controllate che il vostro browser sia aggiornato almeno alla versione 108.0.5359.94 su Mac e Linux e 108.0.5359.94/.95 su Windows.

Il nono zero-day del 2022 colpisce Chrome

Prudhvikumar Bommana di Google ha dichiarato sul blog Chrome Releases che CVE-2022-4262 è una debolezza di confusione di tipo high-severity nel motore JavaScript V8 di Chrome. Se questo suona familiare, è perché si tratta del terzo bug di questo tipo in Chrome quest’anno.
Come abbiamo spiegato in precedenza, se un utente malintenzionato sfrutta una vulnerabilità di confusione di tipo, può eseguire codice arbitrario nel browser. Può anche visualizzare, modificare o eliminare dati se dispone dei privilegi necessari. Non sappiamo però come gli aggressori sfruttino questo bug specifico, perché Google vuole che tutti aggiornino Chrome prima di condividere i dettagli.

“L’accesso ai dettagli del bug e ai link potrebbe essere limitato fino a quando la maggior parte degli utenti non verrà aggiornata con una correzione”, spiega Google. “Manterremo le restrizioni anche nel caso in cui il bug sia presente in una libreria di terze parti da cui dipendono altri progetti simili, ma che non è ancora stato risolto”. Questo è il nono exploit zero-day di Chrome che Google ha corretto nel 2022. Il precedente era emerso il 25 novembre e riguardava l’heap buffer overflow nella GPU.

Come aggiornare il browser Chrome

Chrome non applica sempre gli ultimi aggiornamenti all’apertura del browser, quindi se volete controllare quale versione state eseguendo, andate su Impostazioni e poi su Informazioni su Chrome in fondo alla barra dei menu sul lato sinistro dello schermo. Se si sta già eseguendo l’ultima versione del browser, si può procedere. In caso contrario, è necessario iniziare il processo di aggiornamento il prima possibile. Al termine del download, fare clic sul pulsante Rilancia per completare l’aggiornamento.

Killnet e il suo gruppo di collaboratori hacker affermano di essere riusciti a mettere a segno un trio di attacchi DDoS (Distributed Denial of Service) simbolici, volti a punire alcuni dei sostenitori più critici dell’Ucraina contro l’invasione russa: il servizio satellitare a banda larga Starlink di Elon Musk e i siti web della Casa Bianca negli Stati Uniti e del Principe di Galles nel Regno Unito. I ricercatori di Trustwave sono riusciti a trovare prove che confermano le affermazioni del gruppo di minaccia sostenuto dai russi. Killnet ha affermato di aver interrotto il servizio Starlink il 18 novembre, che è stato fondamentale per fornire connettività Internet allo sforzo bellico dell’Ucraina. In effetti, Trustwave ha trovato clienti di Starlink su Reddit lo stesso giorno che lamentavano l’impossibilità di accedere ai loro account per diverse ore. “Lo stavate aspettando compagni”, ha scritto Killnet su Telegram, secondo Trustwave. “Attacco DDoS collettivo a Starlink! Nessuno può accedere a Starlink”. Anche altri gruppi di minaccia, e noti collaboratori di Killnet in passato, hanno affermato di essere stati coinvolti nell’attacco a Starlink e in altri DDoS, tra cui Anonymous Russian, Msidstress, Radis, Mrai e Halva.

Leggi l’intervista a KillNet

Presi di mira i siti web della Casa Bianca e del Principe di Galles

Oltre a Starlink, Killnet si è vantato di essere riuscito a eseguire con successo “30 minuti di attacco di prova” sul sito web della Casa Bianca il 17 novembre. “Naturalmente, volevamo impiegare più tempo, ma non abbiamo tenuto conto dell’intensità del sistema di filtraggio delle richieste”, ha aggiunto Killnet. “Ma!!! La Casa Bianca è stata sbattuta davanti a tutti!”. Trustwave ha aggiunto che la Casa Bianca utilizza una protezione di livello militare contro gli attacchi DDoS di Automattic. Giorni dopo, il 22 novembre, il gruppo ha lanciato un altro attacco DDoS, questa volta contro il sito del Principe di Galles, e ha avvertito che il sistema sanitario britannico sarebbe stato il prossimo, ha riferito il team di Trustwave. Killnet ha anche minacciato attacchi futuri contro la Borsa di Londra, l’esercito britannico e altro ancora. Insieme alla rivendicazione dell’attacco DDoS del Regno Unito, Killnet ha aggiunto minacciosamente: “Oggi non funziona, forse ciò è dovuto alla fornitura di missili ad alta precisione all’Ucraina!”. Sebbene gli obiettivi siano ambiziosi, Trustwave ha affermato che Killnet e la sua coorte di criminali informatici non sono abbastanza avanzati per realizzare più di semplici attacchi DDoS. “Dovremmo aspettarci di vedere un numero maggiore di questi attacchi di bassa abilità da parte di Killnet, che prende di mira un elenco sempre crescente di obiettivi che considera in opposizione agli interessi russi”, ha dichiarato Trustwave nel suo rapporto di martedì sugli attacchi DDoS di Killnet. “Tuttavia, resta da vedere se il gruppo sia in grado di graduare gli attacchi in modo da causare danni, esfiltrare dati o fare di più che mettere fuori uso un sito web per un breve periodo di tempo”.

Il Garante per la protezione dei dati personali ha espresso parere favorevole alla bozza di decreto legislativo che istituisce il nuovo sistema informativo di rilevazione delle concessioni di beni pubblici, il cosiddetto SICONBEP. Il testo, predisposto sulla base della legge annuale per il mercato e la concorrenza 2021, introduce una piattaforma telematica che servirà a garantire la massima trasparenza su tutti i rapporti concessori, pubblicando varie informazioni utili come quelle sull’ente proprietario della concessione, le generalità del concessionario nonché durata del contratto, in una prospettiva di tutela e valorizzazione del bene nell’interesse pubblico.

Al fine di bilanciare correttamente il diritto alla protezione dei dati personali e le esigenze di trasparenza, il Garante ha chiesto di introdurre maggiori garanzie nel testo definitivo. Dovranno, ad esempio, essere indicate in maniera puntuale le informazioni da acquisire e pubblicare sul sistema informativo, evitando indicazioni generiche come quelle “minime”, così da non trattare dati non necessari. Dovrà inoltre essere esclusa la pubblicazione di dati dai quali si possano evincere lo stato di salute o la situazione di disagio economico-sociale degli interessati, inclusi i concessionari.

Nel parere, il Garante privacy ha infine segnalato la necessità di prestare particolare attenzione alla definizione delle specifiche tecniche, delle modalità e della tempistica per l’invio dei dati al sistema informativo, eventualmente anche tramite un apposito decreto non regolamentare, nonché di esplicitare il ruolo svolto da tutti i soggetti coinvolti nel trattamento dei dati personali sotteso al funzionamento del sistema informativo e ai relativi obblighi di pubblicità.