Articolo: Allarme Zero-Day: Aggiorna Subito Chrome per Risolvere una Nuova Vulnerabilità Attivamente Sfruttata
Google ha rilasciato martedì degli aggiornamenti per risolvere quattro problemi di sicurezza nel suo browser Chrome, tra cui una vulnerabilità zero-day attivamente sfruttata.
Il problema, identificato come CVE-2024-0519, riguarda un accesso fuori limite alla memoria nel motore V8 JavaScript e WebAssembly, che può essere sfruttato dagli attori minacciosi per innescare un crash.
“Leggendo la memoria fuori limite, un attaccante potrebbe essere in grado di ottenere valori segreti, come gli indirizzi di memoria, che possono eludere meccanismi di protezione come ASLR al fine di migliorare l’affidabilità e la probabilità di sfruttare una debolezza separata per ottenere l’esecuzione del codice anziché solo il rifiuto del servizio,” secondo la Common Weakness Enumeration (CWE) del MITRE.
Ulteriori dettagli sulla natura degli attacchi e sugli attori minacciosi che potrebbero sfruttarli sono stati trattenuti nel tentativo di prevenire ulteriori sfruttamenti. Il problema è stato segnalato in modo anonimo l’11 gennaio 2024.
“L’accesso fuori limite alla memoria in V8 in Google Chrome prima della versione 120.0.6099.224 consentiva a un attaccante remoto di potenzialmente sfruttare la corruzione dell’heap tramite una pagina HTML manipolata,” si legge nella descrizione della falla nel National Vulnerability Database (NVD) dell’NIST.
Questo rappresenta il primo zero-day attivamente sfruttato nel 2024 che Google ha risolto in Chrome. L’anno scorso, il gigante tecnologico ha risolto un totale di 8 zero-day attivamente sfruttati nel browser.
Si consiglia agli utenti di aggiornare a Chrome versione 120.0.6099.224/225 per Windows, 120.0.6099.234 per macOS e 120.0.6099.224 per Linux per mitigare le potenziali minacce.
Gli utenti di browser basati su Chromium, come Microsoft Edge, Brave, Opera e Vivaldi, sono altresì invitati ad applicare le correzioni non appena diventano disponibili.