La CISA ordina alle agenzie di correggere il bug sfruttato di Google Chrome entro il 26 dicembre
Pubblicato da Angelo Domeneghini in Privacy - Sicurezza - BUG · 6 Dicembre 2022
Tags: #sicurezza, #bug, #google, #chrome
Tags: #sicurezza, #bug, #google, #chrome
La CISA ordina alle agenzie di correggere il bug sfruttato di Google Chrome entro il 26 dicembre
CISA
La Cybersecurity and Infrastructure Security Agency (CISA) ha aggiunto un'altra vulnerabilità di sicurezza al suo elenco di bug noti per essere sfruttati negli attacchi.
Il difetto (tracciato come CVE-2022-4262) è stato corretto venerdì come bug zero-day sfruttato attivamente nel browser Web Google Chrome per utenti Windows, Mac e Linux.
In un avviso di sicurezza pubblicato poco prima del fine settimana, Google ha affermato di "essere a conoscenza di segnalazioni secondo cui esiste un exploit per CVE-2022-4262".
Questo è il nono Chrome zero-day sfruttato in natura che Google ha patchato dall'inizio dell'anno.
Il bug è causato da una debolezza della confusione di tipo ad alta gravità nel motore JavaScript Chromium V8 segnalato da Clement Lecigne del Threat Analysis Group di Google.
Sebbene i difetti di confusione del tipo in genere portino a arresti anomali del browser in seguito a uno sfruttamento riuscito leggendo o scrivendo la memoria fuori dai limiti del buffer, gli aggressori possono anche sfruttarli per l'esecuzione di codice arbitrario.
Sebbene la società abbia affermato di aver rilevato attacchi che sfruttano questo zero-day, deve ancora condividere dettagli tecnici o informazioni riguardanti questi incidenti che potrebbero consentire l'implementazione dell'aggiornamento di sicurezza su tutti i sistemi interessati e fornire agli utenti tempo sufficiente per aggiornare i propri browser prima che altro gli aggressori sviluppano i propri exploit CVE-2022-4262.
Alle agenzie federali è stato ordinato di rattoppare entro le prossime tre settimane
Secondo una direttiva operativa vincolante del novembre 2021 (BOD 22-01), tutte le agenzie delle agenzie del ramo esecutivo civile federale (FCEB) ora devono correggere i propri sistemi contro questo bug secondo la tempistica fornita dalla CISA.
Sono state concesse tre settimane, fino al 26 dicembre, per applicare patch a tutte le installazioni di Chrome vulnerabili sui loro sistemi per garantire che i tentativi di sfruttamento in corso venissero bloccati.
Anche se la direttiva BOD 22-01 si applica solo alle agenzie FCEB degli Stati Uniti, l'agenzia per la sicurezza informatica del DHS ha anche fortemente esortato tutte le organizzazioni statunitensi del settore privato e pubblico a dare la priorità alla correzione di questo bug sfruttato attivamente.
Prendere a cuore questo consiglio aiuterebbe a ridurre la superficie di attacco che gli attori delle minacce possono sfruttare nei tentativi di violare le reti delle agenzie.
"Questi tipi di vulnerabilità sono un vettore di attacco frequente per attori informatici malintenzionati di tutti i tipi e rappresentano un rischio significativo per l'impresa federale", ha spiegato l'agenzia per la sicurezza informatica statunitense.
Da quando è stata emessa la direttiva vincolante, CISA ha aggiunto centinaia di bug di sicurezza al suo catalogo di vulnerabilità note sfruttate, ordinando alle agenzie federali statunitensi di correggerli il prima possibile per bloccare potenziali violazioni della sicurezza.