Google ha rilasciato un aggiornamento di sicurezza per il browser Chrome per correggere un exploit di vulnerabilità zero-day utilizzato dagli autori delle minacce. Questa è la quinta volta quest’anno che l’azienda deve rilasciare una patch per una di queste vulnerabilità, come riportato da Bleeping Computer.
“Google è a conoscenza dell’esistenza di un exploit per CVE-2024-4671“, ha affermato la società in un breve avviso. Non ha fornito dettagli sulla natura dell’attacco nel mondo reale o sull’identità degli autori della minaccia. Questo è comune per Google, poiché preferisce attendere che la maggior parte degli utenti abbia aggiornato Chrome prima di annunciare dettagli specifici.
Sappiamo alcune cose sull’exploit. Viene classificato come un “problema di gravità elevata” e come una vulnerabilità “user after free”. Questi bug si verificano quando un programma fa riferimento a una posizione di memoria dopo che è stata deallocata, portando a una serie di gravi conseguenze da un arresto anomalo all’esecuzione casuale del codice. Sembra che la vulnerabilità CVE-2024-4671 sia collegata al componente visivo che gestisce il rendering e la visualizzazione del contenuto nel browser.
L’exploit è stato scoperto e segnalato a Google da un ricercatore anonimo. La correzione è disponibile per le versioni Mac, Windows e Linux di Google Chrome e gli aggiornamenti continueranno a essere distribuiti agli utenti nei prossimi giorni e settimane. Chrome si aggiorna automaticamente con correzioni di sicurezza, quindi gli utenti possono confermare che stanno utilizzando la versione più recente del browser accedendo a Impostazioni e Informazioni su Chrome. Anche gli utenti di browser basati su Chromium come Microsoft Edge, Brave, Opera e Vivaldi dovrebbero aggiornare a una nuova versione non appena disponibile.
Come già detto, questa è la quinta vulnerabilità di questo tipo affrontata da Google quest’anno. Non intendo “entro l’ultimo anno solare”. Voglio dire nel 2024. Tre sono stati scoperti a marzo al concorso di hacking Pwn2Own a Vancouver. Questo non è un record o altro. Google ne ha trovati e corretti cinque in un mese nel 2020 e anche negli anni successivi il numero non è stato pari a 0.
Gli exploit zero-day sono stati una spina nel fianco di Google. Si tratta di un tipo di attacco informatico che sfrutta una falla di sicurezza sconosciuta o non risolta nel software, nell’hardware o nel firmware del computer. L’azienda in genere paga ingenti somme di denaro per la scoperta di bug, come parte del suo programma Vulnerability Rewards.
