Google risolve il quinto zero-day di Chrome sfruttato negli attacchi quest'anno
Pubblicato da Angelo Domeneghini in Vulnerabilità zero-day · 10 Maggio 2024
Google risolve il quinto zero-day di Chrome sfruttato negli attacchi quest'anno
Google ha rilasciato un aggiornamento di sicurezza per il browser Chrome per correggere la quinta vulnerabilità zero-day sfruttata dall'inizio dell'anno.
Il problema di elevata gravità tracciato come CVE-2024-4671 è una vulnerabilità "user after free" nel componente Visuals che gestisce il rendering e la visualizzazione del contenuto nel browser.
CVE-2024-4671 è stato scoperto e segnalato a Google da un ricercatore anonimo, mentre la società ha rivelato che probabilmente viene sfruttato attivamente.
"Google è a conoscenza dell'esistenza di un exploit per CVE-2024-4671", si legge nell'avviso senza fornire ulteriori informazioni.
I difetti di utilizzo after-free sono difetti di sicurezza che si verificano quando un programma continua a utilizzare un puntatore dopo che la memoria a cui punta è stata liberata, in seguito al completamento delle sue operazioni legittime su quella regione.
Poiché la memoria liberata potrebbe ora contenere dati diversi o essere utilizzata da altri software o componenti, l'accesso potrebbe causare perdita di dati, esecuzione di codice o arresto anomalo.
Google ha risolto il problema con il rilascio di 124.0.6367.201/.202 per Mac/Windows e 124.0.6367.201 per Linux, con gli aggiornamenti in uscita nei prossimi giorni/settimane.
Per gli utenti del canale "Extended Stable", le correzioni saranno rese disponibili nella versione 124.0.6367.201 per Mac e Windows, anche per essere implementate successivamente.
Chrome si aggiorna automaticamente quando è disponibile un aggiornamento di sicurezza, ma gli utenti possono confermare che stanno utilizzando la versione più recente andando su Impostazioni > Informazioni su Chrome, lasciando terminare l'aggiornamento e quindi facendo clic sul pulsante "Riavvia" per applicarlo.
Aggiornamento
Quest'ultimo difetto risolto in Google Chrome è il quinto quest'anno, con altri tre scoperti durante il concorso di hacking Pwn2Own del marzo 2024 a Vancouver.
L'elenco completo delle vulnerabilità zero-day di Chrome risolte dall'inizio del 2024 include anche quanto segue:
- CVE-2024-0519: un punto debole di accesso alla memoria fuori dai limiti di elevata gravità all'interno del motore JavaScript Chrome V8, che consente agli aggressori remoti di sfruttare la corruzione dell'heap tramite una pagina HTML appositamente predisposta, portando all'accesso non autorizzato a informazioni sensibili.
- CVE-2024-2887: un difetto di confusione di tipo di elevata gravità nello standard WebAssembly (Wasm). Potrebbe portare a exploit RCE (Remote Code Execution) che sfruttano una pagina HTML creata appositamente.
- CVE-2024-2886: una vulnerabilità use-after-free nell'API WebCodecs utilizzata dalle applicazioni Web per codificare e decodificare audio e video. Gli aggressori remoti lo hanno sfruttato per eseguire letture e scritture arbitrarie tramite pagine HTML predisposte, portando all'esecuzione di codice in modalità remota.
- CVE-2024-3159: una vulnerabilità di elevata gravità causata da una lettura fuori dai limiti nel motore JavaScript V8 di Chrome. Gli aggressori remoti hanno sfruttato questa falla utilizzando pagine HTML appositamente predisposte per accedere ai dati oltre il buffer di memoria allocato, provocando un danneggiamento dell'heap che potrebbe essere sfruttato per estrarre informazioni sensibili.