Un altro exploit zero-day: è ora di aggiornare il browser Chrome

Notizia

È stato scoperto un altro exploit Zero-Day e questa volta colpisce il browser Google Chrome. Se utilizzi Chrome, assicurati di eseguire l'aggiornamento all'ultima versione il prima possibile per correggere il problema di sicurezza.

Solo una settimana fa, Google ha implementato un aggiornamento incrementale al browser Chrome Desktop che conteneva una serie di aggiornamenti di sicurezza cruciali. In quell'aggiornamento, il team di sviluppatori di Chrome ha rivelato che una delle vulnerabilità era stata attivamente sfruttata in natura. Quando ciò accade, viene definito exploit Zero-Day poiché gli sviluppatori di software non erano a conoscenza della debolezza prima dell'attacco. L'ultimo aggiornamento del browser Chrome include solo 4 patch di sicurezza, ma ognuna delle quattro è contrassegnata come alta, il che significa che sono aggiornamenti critici. Una delle patch include una correzione per una vulnerabilità che Google ha confermato essere stata sfruttata in natura.

Il bug, CVE-2021-30554, è stato segnalato da una fonte anonima e la taglia per il ritrovamento deve ancora essere determinata. Google ha rifiutato di fornire dettagli su come è stato sfruttato esattamente il bug. È probabile che ciò dia agli utenti tutto il tempo per aggiornare il browser per prevenire ulteriori attacchi. Questo particolare bug è correlato a WebGL ed è stato identificato come un utente dopo la vulnerabilità gratuita. Che cosa significa? Ecco una breve spiegazione di cosa significa.

Use After Free si riferisce specificamente al tentativo di accedere alla memoria dopo che è stata liberata, che può causare il crash di un programma o, nel caso di un difetto Use-After-Free, può potenzialmente comportare l'esecuzione di codice arbitrario o addirittura abilitare funzionalità complete di esecuzione di codice remoto.

Webpedia

Inutile dire che è probabilmente una buona idea andare avanti e assicurarsi che il browser Chrome sia aggiornato. L'ultima versione che include la correzione per questo bug è 91.0.4472.114. Se utilizzi Chrome su Windows, Linux o macOS, ti consigliamo di andare alla sezione Informazioni su Chrome nel menu delle impostazioni e verificare la presenza di un aggiornamento. Se i miei calcoli sono corretti, questo è il settimo exploit zero-day noto per il browser Chrome quest'anno. Per fortuna, sembra che sia stato scoperto e corretto molto rapidamente. Di seguito puoi trovare le quattro patch di sicurezza e la loro corrispondente assegnazione CVE.

  • [$TBD][ 1219857 ] Alto CVE-2021-30554: Usa dopo gratuitamente in WebGL. Segnalato da anonimo il 2021-06-15
  • [$ 10000][ 1215029 ] Alto CVE-2021-30555: Usa dopo libero in Condivisione. Segnalato da David Erceg il 2021-06-01
  • [$ 7500][ 1212599 ] Alto CVE-2021-30556: utilizzare dopo gratuitamente in WebAudio. Segnalato da Yangkang (@dnpushme) di 360 ATA il 24-05-2021
  • [$ 10000][ 1202102 ] Alto CVE-2021-30557: Usa dopo libero in TabGroups. Segnalato da David Erceg il 23-04-2021