Google ha rilasciato martedì degli aggiornamenti di emergenza per risolvere un’altra vulnerabilità zero-day di elevata gravità attivamente sfruttata nel suo browser web Chrome.
Dettagli sulla vulnerabilità Zero-Day
La vulnerabilità, identificata come CVE-2023-2136, riguarda un caso di overflow di interi nella libreria grafica 2D open source Skia. Clément Lecigne del Google’s Threat Analysis Group (TAG) ha scoperto e segnalato la falla il 12 aprile 2023. Secondo la National Vulnerability Database (NVD) del NIST, un “integer overflow in Skia in Google Chrome prima della versione 112.0.5615.137 ha permesso a un attaccante remoto che aveva compromesso il processo di rendering di eseguire potenzialmente un’escalation di privilegi attraverso una pagina HTML appositamente creata.”
Google risponde all’attacco in corso
Google, che ha anche risolto altri sette problemi di sicurezza con l’ultimo aggiornamento, ha dichiarato di essere a conoscenza dello sfruttamento attivo della vulnerabilità, ma non ha fornito ulteriori dettagli per evitare ulteriori abusi. Questo evento segna la seconda vulnerabilità zero-day di Chrome sfruttata dagli attori malevoli quest’anno e arriva a pochi giorni di distanza dalla correzione di Google per CVE-2023-2033 la scorsa settimana. Non è ancora chiaro se le due vulnerabilità zero-day siano state concatenate come parte degli attacchi in corso.
Raccomandazioni per gli utenti
Si consiglia agli utenti di aggiornare alla versione 112.0.5615.137/138 per Windows, 112.0.5615.137 per macOS e 112.0.5615.165 per Linux al fine di mitigare eventuali minacce. Anche gli utenti di browser basati su Chromium, come Microsoft Edge, Brave, Opera e Vivaldi, sono invitati ad applicare le correzioni non appena disponibili.
