Google risolve un altro bug zero-day di Chrome sfruttato negli attacchi
Pubblicato da Angelo Domeneghini in Vulnerabilità zero-day · 12 Settembre 2023
Tags: #Google, #Chrome
Tags: #Google, #Chrome
Google risolve un altro bug zero-day di Chrome sfruttato negli attacchi
Google ha rilasciato aggiornamenti di sicurezza di emergenza per correggere la quarta vulnerabilità zero-day di Chrome sfruttata negli attacchi dall'inizio dell'anno.
"Google è a conoscenza dell'esistenza di un exploit per CVE-2023-4863", ha rivelato la società in un avviso di sicurezza pubblicato lunedì.
La nuova versione è attualmente in fase di distribuzione agli utenti nei canali Stabile ed Esteso e si stima che raggiungerà l'intera base di utenti nei prossimi giorni o settimane.
Si consiglia agli utenti Chrome di aggiornare il proprio browser Web alla versione 116.0.5845.187 (Mac e Linux) e 116.0.5845.187/.188 (Windows) il prima possibile, poiché corregge la vulnerabilità CVE-2023-4863 su Windows, Mac e Sistemi Linux.
Questo aggiornamento è stato immediatamente disponibile quando BleepingComputer ha controllato la presenza di nuovi aggiornamenti tramite il menu Chrome > Guida > Informazioni su Google Chrome.
Il browser Web verificherà inoltre la presenza di nuovi aggiornamenti e li installerà automaticamente senza richiedere l'interazione dell'utente dopo il riavvio.
Google Chrome 116.0.5845.187
Dettagli dell'attacco non ancora disponibili
La vulnerabilità critica zero-day (CVE-2023-4863) è causata da una debolezza di overflow del buffer heap WebP il cui impatto varia da arresti anomali all'esecuzione di codice arbitrario.
Il bug è stato segnalato da Apple Security Engineering and Architecture (SEAR) e The Citizen Lab presso la Munk School dell'Università di Toronto lo scorso mercoledì 6 settembre.
I ricercatori di sicurezza di Citizen Lab hanno spesso trovato e divulgato bug zero-day utilizzati in attacchi spyware altamente mirati da parte di autori di minacce sostenuti dal governo che prendono di mira individui ad alto rischio come politici dell'opposizione, giornalisti e dissidenti in tutto il mondo.
Giovedì, Apple ha patchato due zero-day contrassegnati da Citizen Lab come sfruttati in attacchi come parte di una catena di exploit nota come BLASTPASS per infettare iPhone dotati di patch complete con lo spyware mercenario Pegasus di NSO Group.
Sebbene Google abbia affermato che lo zero-day CVE-2023-4863 sia stato sfruttato in modo selvaggio, la società non ha ancora condiviso ulteriori dettagli su questi attacchi.
"L'accesso ai dettagli e ai collegamenti dei bug potrebbe essere limitato fino a quando la maggior parte degli utenti non verrà aggiornata con una correzione", ha affermato Google. "Manterremo anche le restrizioni se il bug esiste in una libreria di terze parti da cui dipendono in modo simile altri progetti, ma che non è stato ancora risolto."
Ciò significa che gli utenti di Chrome possono aggiornare i propri browser per contrastare gli attacchi prima del rilascio di specifiche tecniche aggiuntive, che potrebbero consentire a più autori di minacce di creare i propri exploit e distribuirli in libertà.