Google ha rilasciato il suo terzo aggiornamento urgente per Chrome che “toppa” un’altra vulnerabilità zero-day nel browser web desktop tra i più utilizzati al mondo.
L’aggiornamento del canale stabile per la variante desktop di Google Chrome porta il browser alla versione 100.0.4898.127, su macOS, Windows e Linux. Secondo Google, l’aggiornamento sarà distribuito nei prossimi giorni e settimane, ma gli utenti potrebbero voler forzare l’aggiornamento prima.
L’aggiornamento include un paio di correzioni di sicurezza, tra cui una vulnerabilità “type confusion” designata come CVE-2022-1364. Il bug è stato segnalato da un membro del Google Threat Analysis Group il 13 aprile, con Google che ha rapidamente fatto uscire una correzione.
Si ritiene che il bug in questione sia uno zero-day ad alta incidenza, che viene attivamente utilizzato dagli attaccanti.
Una volta eseguito, può causare un crash del browser o innescare un errore, che ha il potenziale per consentire l’esecuzione di codice arbitrario.
Il tipo di bug è simile a un problema che Google ha patchato il 26 marzo, che ha coinvolto un altro “tipo di confusione” debolezza nel motore JavaScript V8 di Chrome. Anche in questo caso, l’ultimo exploit utilizza lo stesso vettore del motore V8 JavaScript.
Google dice che è “consapevole che un exploit per CVE-202201364 esiste in natura“, un fattore che ha contribuito alla rapida creazione di una correzione. Tuttavia, piuttosto che fornire dettagli espliciti del bug, Google dice che sta limitando l’accesso a tali informazioni fino a quando “la maggioranza degli utenti sono aggiornati” e quindi protetti.