Non è uno scherzo: oltre 2 miliardi di utenti del browser Chrome sarebbero finiti nei guai per colpa di questa vulnerabilità (o zero-day), fortunatamente corretta grazie all’ultimo aggiornamento di Google.
Su Google Chrome la vulnerabilità “bomba” per 2 miliardi di utenti
Come riferisce The Hacker News, Google ha recentemente rilasciato un importante aggiornamento di sicurezza per il browser Chrome, in risposta a una vulnerabilità di alta gravità, individuata dal Microsoft Threat Intelligence Center (MSTIC) e il Microsoft Security Response Center (MSRC) il 19 agosto.
La vulnerabilità, identificata come CVE-2024-7971, è etichettata come “errore di tipo confusion”. Prendendo a riferimento la descrizione riportata dal National Vulnerability Database (NVD), questo errore permetterebbe a un hacker da remoto di compromettere la memoria del programma (in questo caso, il motore V8 di JavaScript e WebAssembly di Chrome) tramite una pagina HTML appositamente progettata.
Per mitigare i potenziali rischi di questo zero-day, consigliamo di aggiornare Chrome alla versione 128.0.6613.84/.85 per Windows e macOS, e alla versione 128.0.6613.84 per Linux. Anche gli utenti di browser basati su Chromium, come Microsoft Edge, Brave, Opera e Vivaldi, sono invitati ad applicare le correzioni non appena disponibili.
Vulnerabilità, siamo al nono caso a inizio anno
Ufficialmente si tratta della terza vulnerabilità di tipo confusion attivamente sfruttata che Google ha corretto, dopo CVE-2024-4947 e CVE-2024-5274. Ma, complessivamente, parliamo della nona vulnerabilità da inizio anno. Tra queste, come precisa The Hacker News, la CVE-2024-0519 (zero-day con accesso alla memoria in modalità out-of-bounds nel motore V8), la CVE-2024-2886 (zero-day di tipo use-after-free in WebCodecs) e CVE-2024-2887 (error confusion in WebAssembly).
Si tratta di un record in negativo per il browser di Google, visto che Chrome aveva chiuso il 2023 arrivando a 8 zero-day. Purtroppo il 2024 è un anno molto turbolento in fatto di attacchi hacker e vulnerabilità sfruttate per violare i dati personali, basti pensare al data breach che ha coinvolto milioni di utenti statunitensi qualche giorno fa.
