Google ha rilasciato giovedì delle correzioni per affrontare una vulnerabilità di alta gravità nel suo browser Chrome, che ha affermato essere stata sfruttata in modo attivo.
Assegnata con l’identificatore CVE CVE-2024-5274, la vulnerabilità riguarda un bug di confusione di tipo nel motore JavaScript e WebAssembly V8. È stata segnalata da Clément Lecigne del Threat Analysis Group di Google e Brendon Tiszka della Chrome Security il 20 maggio 2024.
In cosa consiste la vulnerabilità scoperta da casa Google
Le vulnerabilità di confusione di tipo si verificano quando un programma tenta di accedere a una risorsa con un tipo incompatibile e queste possono avere conseguenze serie poiché permettono ai criminali informatici di accedere alla memoria al di fuori dei limiti consentiti, causare un crash di sistema e tra le altre cose quella di eseguire codice di programmazione malevolo.
Lo sviluppo rappresenta il quarto zero-day che Google ha corretto dall’inizio del mese, dopo CVE-2024-4671, CVE-2024-4761 e CVE-2024-4947.
Il gigante tecnologico non ha divulgato ulteriori dettagli tecnici sulla vulnerabilità, ma ha riconosciuto di essere “consapevole che un exploit per CVE-2024-5274 esiste in natura.” Non è chiaro se il difetto sia un bypass della patch per CVE-2024-4947, che è anch’esso un bug di confusione di tipo in V8.
Con l’ultima correzione, Google ha risolto un totale di otto zero-day in Chrome dall’inizio dell’anno:
- CVE-2024-0519: Accesso alla memoria fuori dai limiti in V8
- Out-of-bounds memory access in V8: Questa vulnerabilità si verifica quando un programma tenta di leggere o scrivere dati al di fuori dei limiti della memoria assegnata, causando potenzialmente crash o esecuzione di codice malevolo.
- CVE-2024-2886: Use-after-free in WebCodecs (dimostrato al Pwn2Own 2024)
- Use-after-free: Questo tipo di vulnerabilità si verifica quando un programma continua a utilizzare un puntatore a memoria dopo che questa è stata liberata. Ciò può portare a esecuzione di codice arbitrario o a crash del programma.
- CVE-2024-2887: Confusione di tipo in WebAssembly (dimostrato al Pwn2Own 2024)
- Type confusion: Vedi sopra per la descrizione.
- CVE-2024-3159: Accesso alla memoria fuori dai limiti in V8 (dimostrato al Pwn2Own 2024)
- Out-of-bounds memory access: Vedi sopra per la descrizione.
- CVE-2024-4671: Use-after-free in Visuals
- Use-after-free: Vedi sopra per la descrizione.
- CVE-2024-4761: Scrittura fuori dai limiti in V8
- Out-of-bounds write: Questa vulnerabilità si verifica quando un programma tenta di scrivere dati al di fuori dei limiti della memoria assegnata, il che può portare a modifiche impreviste dei dati o a crash del programma.
- CVE-2024-4947: Confusione di tipo in V8
- Type confusion: Vedi sopra per la descrizione.
Gli utenti sono raccomandati di aggiornare alla versione 125.0.6422.112/.113 di Chrome per Windows e macOS, e alla versione 125.0.6422.112 per Linux per mitigare le potenziali minacce.
Tutto ciò vale anche per i browser basati su Chromium
Com’è noto, Google Chrome non è l’unico browser ad essere basato sul codice sorgente di Chromium, infatti ce ne sono parecchi altri, infatti si consiglia anche agli utenti di browser basati su Chromium, come Microsoft Edge, Brave, Opera e Vivaldi, di applicare le correzioni non appena disponibili.
ChromeOS e ChromeOS Flex vengono, di conseguenza, impattati?
Senza fare tanti giri di parole: sì!
Anche gli utenti che fanno uso regolare di sistemi operativi ChromeOS e ChromeOS Flex devono prestare attenzione a queste vulnerabilità.
Il primo motivo è abbastanza scontato: entrambi usano comunque il browser Google Chrome.
Il secondo motivo lo è un po’ meno: dato ChromeOS è costruito su una base di Chrome, le stesse vulnerabilità possono essere presenti e sfruttabili su questi sistemi.
Google rilascia regolarmente aggiornamenti di sicurezza per ChromeOS, e gli utenti dovrebbero assicurarsi che i loro dispositivi siano aggiornati all’ultima versione disponibile per proteggersi da queste minacce; si raccomanda di controllare regolarmente gli aggiornamenti del sistema e applicarli non appena disponibili per mantenere i dispositivi sicuri e protetti.
