Google ha rilasciato degli aggiornamenti di sicurezza per il browser web Google Chrome al fine di affrontare una vulnerabilità zero-day di elevata gravità, la quale è stata sfruttata nell’ambiente online a discapito della privacy e della sicurezza dei dati di svariati utenti.
In cosa consiste la problematica zero-day di Google Chrome
La vulnerabilità, identificata con il codice CVE CVE-2023-7024, è stata descritta come un bug di overflow dell’heap nel framework WebRTC che potrebbe essere sfruttato da criminali informatici per causare il crash del programma o l’esecuzione di codice malevolo (come il recente caso JaskaGo, manco a farlo apposta programmato con un linguaggio di programmazione fatto da Google).
Clément Lecigne e Vlad Stolyarov del Google Threat Analysis Group (TAG) sono stati accreditati per aver scoperto e segnalato la falla il 19 dicembre 2023.
Nessun altro dettaglio sulla falla di sicurezza è stato rilasciato per evitare ulteriori abusi, con Google che riconosce che “esiste uno sfruttamento per CVE-2023-7024 nell’ambiente online“.
Lo sviluppo segna la risoluzione dell’ottava vulnerabilità zero-day attivamente sfruttata in Google Chrome dall’inizio dell’anno:
- CVE-2023-2033 (punteggio CVSS: 8,8) – bug in V8;
- CVE-2023-2136 (punteggio CVSS: 9,6) – Overflow di interi in Skia;
- CVE-2023-3079 (punteggio CVSS: 8,8) – bug in V8;
- CVE-2023-4762 (punteggio CVSS: 8,8) – bug sempre in V8;
- CVE-2023-4863 (punteggio CVSS: 8,8) – Overflow di buffer di heap in WebP;
- CVE-2023-5217 (punteggio CVSS: 8,8) – Overflow di buffer di heap nell’encoding vp8 in libvpx;
- CVE-2023-6345 (punteggio CVSS: 9,6) – Overflow di interi in Skia.
Complessivamente, sono state divulgate 26.447 vulnerabilità fino ad ora nel 2023, superando l’anno precedente di oltre 1.500 CVE, secondo i dati compilati da Qualys, con 115 falle sfruttate da criminali informatici e gruppi di ransomware.
Esecuzione remota di codice, bypass di funzionalità di sicurezza, manipolazione di buffer, escalation di privilegi e falle di validazione e parsing di input emersero come i tipi di vulnerabilità più comuni.
Si consiglia agli utenti di aggiornare a Chrome versione 120.0.6099.129/130 per Windows e 120.0.6099.129 per macOS e Linux per mitigare le minacce potenziali.
Non è tutto, poiché il codice di Google Chrome è condiviso anche con altri browser, pertanto gli utenti dei browser basati su Chromium, come Microsoft Edge, Brave, Opera e Vivaldi, sono anche invitati ad applicare le correzioni non appena diventano disponibili.
Cosa fare se il browser in questione non si aggiorna
Di norma Chrome si dovrebbe aggiornare in automatico, tuttavia se Google Chrome non dovesse aggiornarsi in automatico, tuttavia qualora questo non dovesse funzionare ci sono delle precauzioni da prendere come installare “sopra” il programma dal sito ufficiale.
Windows
Da Windows è più che sufficiente scaricare il file eseguibile (.exe) dal sito ufficiale dalla pagina di Google Chrome e semplicemente eseguire ciò che l’eseguibile sostiene; non dovrebbero esserci problemi nell’installazione, se qualche “temerario” usa ancora vecchie versioni di Windows (come Windows 7), va segnalato che Chrome non è più supportato per Windows 7 e Windows 8 e si invitano gli utenti ad aggiornare a sistemi Windows più recenti (se possibile) o di passare a sistemi operativi supportati.
macOS
Il processo è analogo a quello di Windows, con la differenza che va scaricato il file DMG e seguire i passaggi mostrati a video, male che vada esiste la guida di Google a riguardo.
Linux
In versioni di Linux come quelle basate su Debian e Ubuntu, nulla che il classico “sudo apt update” abbinato a “sudo apt upgrade” non possa sistemare (sudo pacman -Syu nelle versioni basate su Arch Linux), se per caso invece hai installato il browser tramite altri sistemi come Flatpak, nulla che il comando “flatpak update” non possa sistemare”.
Android e iOS
Di norma chi usa questi sistemi operativi mobile, qualora non abbia gli aggiornamenti automatici attivati, gli basta solamente aggiornare tramite Google Play Store e Apple Store, chi invece usa store alternativi tipo Aurora Store su qualche custom Rom Android, meglio si rechi immediatamente nello store alternativo per aggiornare il software.
