Mercoledì, Google ha rilasciato delle correzioni per affrontare una nuova vulnerabilità zero-day attivamente sfruttata nel browser Chrome. Identificata come CVE-2023-5217, la vulnerabilità di alta gravità è descritta come un overflow di buffer basato su heap nel formato di compressione VP8 in libvpx, una libreria di codec video gratuita da Google e l’Alliance for Open Media (AOMedia). L’exploit di tale vulnerabilità può risultare in crash del programma o esecuzione di codice arbitrario, influenzando la sua disponibilità e integrità.
Clément Lecigne del Google’s Threat Analysis Group (TAG) è stato accreditato per aver scoperto e segnalato il difetto il 25 settembre 2023, con la ricercatrice Maddie Stone che ha notato che è stato abusato da un venditore di spyware commerciale per prendere di mira individui ad alto rischio. Google ha riconosciuto di essere “consapevole che un exploit per CVE-2023-5217 esiste in natura”.
Questo porta a cinque il numero di vulnerabilità zero-day a Google Chrome per le quali sono state rilasciate delle patch quest’anno. Gli utenti sono consigliati di aggiornare alla versione Chrome 117.0.5938.132 per Windows, macOS e Linux per mitigare potenziali minacce. Anche gli utenti di browser basati su Chromium come Microsoft Edge, Brave, Opera e Vivaldi sono invitati ad applicare le correzioni non appena diventano disponibili.
Cosa è Chrome?
Chrome è un browser web sviluppato da Google. È uno dei browser più popolari al mondo, noto per la sua velocità, sicurezza e semplicità d’uso. Offre sincronizzazione con account Google, estensioni, temi e altro ancora.