Google corregge il nuovo difetto zero-day di Chrome con exploit in the wild

Vai ai contenuti

Google corregge il nuovo difetto zero-day di Chrome con exploit in the wild

3D.A. CLOUD Internet Provider FIBRA FTTH VDSL VoIP Kaspersky Antivirus WatchGuard Antivirus SPID PEC Firma_Digitale Certificati SSL Brescia Concesio
Pubblicato da Angelo Domeneghini in Vulnerabilità zero-day · 8 Giugno 2023
Tags: #google#Chrome
Google corregge il nuovo difetto zero-day di Chrome con exploit in the wild





Google ha rilasciato un aggiornamento di sicurezza per il browser web Chrome per affrontare la terza vulnerabilità zero-day che gli hacker hanno sfruttato quest'anno.

"Google è a conoscenza dell'esistenza di un exploit per CVE-2023-3079", si legge nel bollettino sulla sicurezza.

Dettagli di sfruttamento sconosciuti
La società non ha rilasciato dettagli su come l'exploit e come è stato utilizzato negli attacchi, limitando le informazioni alla gravità del difetto e al suo tipo.

Trattenere le informazioni tecniche è la solita posizione di Google quando viene rilevato un nuovo problema di sicurezza.
Questo per proteggere gli utenti fino a quando la maggior parte di loro non è migrata alla versione sicura, poiché gli avversari potrebbero utilizzare i dettagli per sviluppare ulteriori exploit.

"L'accesso ai dettagli e ai collegamenti del bug può essere limitato fino a quando la maggior parte degli utenti non viene aggiornata con una correzione. Manterremo anche le restrizioni se il bug esiste in una libreria di terze parti da cui dipendono in modo simile altri progetti, ma non sono ancora stati risolti " - Google

CVE-2023-3079 è stato valutato come un problema di gravità elevata ed è stato scoperto dal ricercatore di Google Clément Lecigne il 1 giugno 2023 ed è una confusione di tipo in V8, il motore JavaScript di Chrome incaricato di eseguire il codice all'interno del browser.

I bug di confusione del tipo si verificano quando il motore interpreta erroneamente il tipo di un oggetto durante il runtime, portando potenzialmente a manipolazione dannosa della memoria ed esecuzione di codice arbitrario.

La prima vulnerabilità zero-day che Google ha corretto in Chrome quest'anno è stata CVE-2023-2033, che è anche un bug di confusione di tipo nel motore JavaScript V8.

Pochi giorni dopo, Google ha rilasciato un aggiornamento di sicurezza di emergenza per Chrome per correggere CVE-2023-2136, una vulnerabilità sfruttata attivamente che ha un impatto sulla libreria grafica 2D del browser, Skia.

Le vulnerabilità zero-day sono spesso sfruttate da sofisticati attori delle minacce sponsorizzati dallo stato, che mirano principalmente a figure di alto profilo all'interno del governo, dei media o di altre organizzazioni vitali. Pertanto, si consiglia vivamente a tutti gli utenti di Chrome di installare l'aggiornamento di sicurezza disponibile il prima possibile.

Oltre a correggere un nuovo zero-day, l'ultima versione di Chrome risolve vari problemi scoperti dai controlli interni e dall'analisi del fuzzing del codice.

Google afferma che l'aggiornamento verrà lanciato nei prossimi giorni/settimane, quindi si tratta di una distribuzione graduale che non raggiungerà tutti contemporaneamente.
Aggiorna il browser Chrome

Per avviare manualmente la procedura di aggiornamento di Chrome all'ultima versione che risolve il problema di sicurezza sfruttato attivamente, vai al menu delle impostazioni di Chrome (angolo in alto a destra) e seleziona Guida → Informazioni su Google Chrome.

Per completare l'aggiornamento è necessario riavviare l'applicazione.


Gli aggiornamenti di sicurezza disponibili vengono inoltre installati automaticamente al successivo avvio del browser senza l'intervento dell'utente, quindi controlla la pagina "Informazioni" per assicurarti di eseguire l'ultima versione.

La nuova versione del canale stabile che affronta il difetto che ha un exploit in circolazione è la versione 114.0.5735.110 per Windows e 114.0.5735.106 per Mac e Linux.




3D.A.
Un Solo Fornitore
3D.A. di Domeneghini Angelo - Via G. Zanardelli, 80/82 - cap. 25062 Concesio (Bs) - Tel +39 030 2008860 -
Fax 030 20 60 925 - P.I: 03307780175
Torna ai contenuti