Anche se ormai manca poco alla fine dell’anno, non poteva mancare a Google un altro caso di vulnerabilità zero-day, ovvero un bug di sistema non supervisionato o protetto dagli sviluppatori.
Segnalato al Threat Analysis Group di Google, l’azienda i Mountain View ha provvedo a rilasciare un aggiornamento di emergenza. Appunto il numero 8 del 2023.
Google interviene per l’ottava volta sulle vulnerabilità zero-day
Google ha annunciato aggiornamenti urgenti per risolvere un’altra vulnerabilità zero-day di Chrome, l’ottava correzione dall’inizio dell’anno.
Secondo quanto riportato dai Bleeping Computer, il zero-day è stato scoperto e segnalato da Clément Lecigne e Vlad Stolyarov del Threat Analysis Group (TAG) di Google. Sono un gruppo di specialisti della sicurezza, il cui scopo principale è proteggere i clienti di Google dagli attacchi degli hacker al soldo di Stati Canaglia.
Il Threat Analysis Group (TAG) rileva frequentemente vulnerabilità zero-day sfruttati in attacchi mirati volti a installare spyware sui dispositivi di individui a rischio elevato, tra cui politici dell’opposizione, dissidenti e giornalisti.
Sebbene l’aggiornamento di sicurezza potrebbe impiegare giorni o settimane per raggiungere tutti gli utenti, secondo Google, la nuova patch di sicurezza era disponibile già da oggi.
Che tipologia di vulnerabilità zero-day è?
La vulnerabilità zero-day (CVE-2023-7024) è di alta gravità. Anche questa, come in un precedente caso, può fornire funzionalità di comunicazione in tempo reale (RTC) (ad es. streaming video, condivisione di file e telefonia VoIP) tramite API JavaScript.
Fortunatamente l’azienda ha risolto il problema zero-day per gli utenti del canale Stable Desktop. E con versioni aggiornate distribuite a livello globale, un giorno dopo essere state segnalate a Google, agli utenti:
In precedenza, Google ha applicato patch ad altri sette zero-day sfruttati negli attacchi. Alcuni di essi, come CVE-2023-4762, sono stati identificati in atti di spyware settimane dopo il rilascio delle patch da parte dell’azienda.
Chi preferisce non aggiornare manualmente, può utilizzare il proprio browser Web per verificare automaticamente la disponibilità di nuovi aggiornamenti e installarli al successivo avvio.
