Pochi giorni fa era stato confermato lo sfruttamento di una vulnerabilità zero-day da parte di due distinti gruppi di cybercriminali nordcoreani (la patch è stata distribuita il 14 febbraio). Google ha ora comunicato la disponibilità di un nuovo aggiornamento per Chrome che risolve un altro grave problema di sicurezza.
Google Chrome: vulnerabilità di V8
Le informazioni fornite da Google sono piuttosto scarne. Nel bollettino di sicurezza viene specificato che la severità del bug è alta e che è stato già sfruttato da qualche malintenzionato, quindi è necessario procedere quanto prima al download dell’update (il browser controlla automaticamente la disponibilità della nuova versione e la installa all’avvio successivo). Al termine la build di Chrome per Windows, macOS e Linux sarà 99.0.4844.84. L’azienda di Mountain View spiega che i dettagli sulla vulnerabilità verranno comunicati solo quando la maggioranza degli utenti avrà effettuato l’aggiornamento.
Il bug, identificato con CVE-2022-1096, era presente nel motore JavaScript V8 ed è stato segnalato il 23 marzo. La vulnerabilità è una “type confusion” che si verifica quando l’accesso ad una risorsa (puntatore, variabile, oggetto) viene effettuato con un tipo incompatibile con quello inizializzato. Generalmente questo tipo di bug provoca il crash del browser, ma potrebbe essere sfruttato per eseguire codice arbitrario.
CVE-2022-1096 è la seconda vulnerabilità zero-day scoperta in Chrome dall’inizio dell’anno. La prima (CVE-2022-0609) risale al mese di gennaio ed è stata sfruttata da due gang nordcoreane per distribuire malware attraverso email di phishing e iframe nascosti in pagine web. Siti e domini vengono ora bloccati dalla funzionalità Safe Browsing di Chrome.