Google ha rilasciato degli aggiornamenti di sicurezza d’emergenza per correggere una vulnerabilità zero-day critica nel suo browser web Chrome, che è stata sfruttata in attacchi attuali. Identificata come CVE-2023-4863, la vulnerabilità è una sovraccarico del buffer heap nel formato immagine WebP, che potrebbe portare all’esecuzione di codice arbitrario o a un crash del sistema. La scoperta della falla è stata accreditata ad Apple Security Engineering and Architecture (SEAR) e al Citizen Lab presso la Munk School dell’Università di Toronto, che hanno segnalato il problema il 6 settembre 2023.
Dettagli Tecnici e Consigli per gli Utenti
Gli utenti di Chrome sono invitati ad aggiornare il loro browser web alla versione 116.0.5845.187 (per Mac e Linux) e 116.0.5845.187/.188 (per Windows) il prima possibile, poiché corregge la vulnerabilità CVE-2023-4863 sui sistemi Windows, Mac e Linux. Il browser web controllerà anche gli aggiornamenti e li installerà automaticamente senza richiedere l’interazione dell’utente dopo un riavvio.
Google ha rivelato che è a conoscenza dell’esistenza di un exploit per CVE-2023-4863 “in the wild”, ma non ha ancora condiviso ulteriori dettagli sugli attacchi. “L’accesso ai dettagli e ai link del bug potrebbe essere mantenuto limitato fino a quando la maggior parte degli utenti non sarà aggiornata con una correzione”, ha dichiarato Google, aggiungendo che manterrà le restrizioni se il bug esiste in una libreria di terze parti su cui altri progetti dipendono, ma che non è ancora stato corretto.
Connessione con Altri Bug Critici
Interessante notare che questa vulnerabilità è stata scoperta nello stesso periodo in cui Apple ha ampliato le correzioni per mitigare un’altra vulnerabilità critica, identificata come CVE-2023-41064, che riguarda un problema di sovraccarico del buffer nel componente Image I/O, che potrebbe portare all’esecuzione di codice arbitrario quando si elabora un’immagine manipolata malevolmente. Entrambe le vulnerabilità, centrate sul processamento delle immagini, sono state segnalate da Apple e dal Citizen Lab, suggerendo una possibile connessione tra le due.