Le vulnerabilità zero-day non vanno prese sotto gamba. Nemmeno Google si azzarda a sottovalutarle, infatti di recente ha provveduto a risolvere l’ennesima vulnerabilità, in un aggiornamento di sicurezza. Su Chrome.
Per questo, se stai usando Chrome, ti suggeriamo di aggiornare il browser. A meno che la tua situazione non rientri in questo caso.
La vulnerabilità zero-day n°6 di Google Chrome
A poche settimane dalla fine di quest’anno, Google ha risolto la sesta vulnerabilità zero-day di Chrome in un aggiornamento di sicurezza di emergenza rilasciato oggi per contrastare lo sfruttamento in corso negli attacchi.
Come riportato dal blog aziendale, l’azienda ha riconosciuto l’esistenza di un exploit, una falla di sicurezza (tracciata come CVE-2023-6345) in un nuovo avviso di sicurezza pubblicato oggi.
La vulnerabilità è stata risolta nel canale Stable Desktop, con versioni patchate distribuite a livello globale per gli utenti Windows (119.0.6045.199/.200) e per gli utenti Mac e Linux (119.0.6045.199).
Come riporta Bleeping Computer, all’origine di questa zero-day sembra sia un problema relativo alla libreria grafica 2D open source Skia. Questo ha posto dei rischi che vanno dai crash all’esecuzione di codice arbitrario. Anche perché Skia è utilizzato anche come motore grafico da altri prodotti come ChromeOS, Android e Flutter.
Se hai riscontrato uno di questi problemi, ti suggeriamo di fare alla svelta l’aggiornamento. Gli utenti che non desiderano aggiornare manualmente possono fare affidamento sul browser Web per verificare automaticamente la presenza di nuovi aggiornamenti e installarli dopo il successivo avvio.
Sebbene l’avviso rilevi che l’aggiornamento di sicurezza potrebbe richiedere giorni o settimane per raggiungere l’intera base di utenti, BleepingComputer conferma che la patch è disponibile già da oggi.
Probabilmente sfruttato in attacchi spyware
A settembre, Google ha corretto altri due zero-day (tracciati come CVE-2023-5217 e CVE-2023-4863), appunto il quarto e il quinto dall’inizio del 2023. In precedenza, la società aveva rilasciato aggiornamenti di sicurezza per altre vulnerabilità zero-day, quali:
- CVE-2023-3079,
- CVE-2023-2136,
- CVE-2023-2033.
L’ultimo riscontrato, e citato in questo articolo, è stato segnalato venerdì 24 novembre da due ricercatori di sicurezza del Threat Analysis Group (TAG) di Google.
Google TAG è noto per aver scoperto degli zero-day, che spesso venivano sfruttati da gruppi di hacker in campagne spyware rivolte a individui di alto profilo come giornalisti e politici dell’opposizione.
La società ha dichiarato che l’accesso ai dettagli del zero-day rimarrà limitato finché la maggior parte degli utenti non avrà aggiornato il proprio browser. Se la vulnerabilità colpisce anche software di terze parti senza le patch, si provvederà all’estensione della limitazione all’accesso ai dettagli e ai collegamenti del bug.
