Con una mossa proattiva in materia di sicurezza informatica, Google ha risposto rapidamente alle sfide relative alla sicurezza rilasciando aggiornamenti critici per Chrome. Questi aggiornamenti arrivano in risposta all’identificazione e allo sfruttamento di una vulnerabilità critica zero-day contrassegnata come CVE-2024-0519, un evento significativo nel panorama della sicurezza online dall’inizio dell’anno.
Compagnia A pubblicato martedì un annuncio sulla sicurezza, che sottolinea l’imminenza della minaccia e la necessità di un’azione rapida. Gli aggiornamenti sono stati distribuiti sui canali Desktop Stabile per Chrome, raggiungendo gli utenti su Windows (versioni 120.0.6099.224/225), Mac (120.0.6099.234) e Linux (120.0.6099.224). Questa rapida implementazione degli aggiornamenti, ottenuta in meno di una settimana dalla segnalazione del problema, dimostra l'impegno di Google nella protezione dei suoi utenti.
Secondo Google, l'aggiornamento potrebbe richiedere del tempo per raggiungere tutti gli utenti, ma sono già riuscito a installarlo, quindi dovresti riuscire a fare lo stesso. Inoltre, Chrome offre una funzionalità di aggiornamento automatico, che consente agli utenti di ricevere gli ultimi miglioramenti della sicurezza senza la necessità di intervento manuale.
La vulnerabilità veniva sfruttata attivamente su Internet
La vulnerabilità zero-day (CVE-2024-0519) comporta un grave problema di accesso alla memoria fuori dai limiti nel motore JavaScript V8 di Chrome. Questa falla di sicurezza può essere sfruttata dagli aggressori per accedere a informazioni sensibili o causare errori critici di sistema. MITRE, un'organizzazione che si occupa di standard di sicurezza, descrive che questa vulnerabilità può portare a errori di segmentazione o overflow del buffer di memoria.
Oltre al rischio diretto, CVE-2024-0519 ha il potenziale per aggirare i meccanismi di protezione come ASLR, aumentando il rischio di esecuzione di codice attraverso altre vulnerabilità.
Google, consapevole dell'utilizzo di questa vulnerabilità negli attacchi, mantiene nascosti ulteriori dettagli in attesa di un aggiornamento per la maggior parte degli utenti. Inoltre, l'azienda ha risolto altre vulnerabilità nella V8, tra cui la scrittura fuori limite (CVE-2024-0517) e la confusione di tipo (CVE-2024-0518), che potrebbero consentire l'esecuzione di codice arbitrario su dispositivi compromessi.
L'anno scorso, Google ha affrontato otto vulnerabilità zero-day di Chrome con un impatto significativo sulla comunità online. Alcune di queste vulnerabilità, come CVE-2023-4762, sono state utilizzate per scopi di sorveglianza su gruppi vulnerabili, inclusi giornalisti e dissidenti, dimostrando la continua importanza della sicurezza informatica.
