In appena quattro giorni Google ha dovuto rilasciare ben due patch per vulnerabilità zero-day all’interno di Google Chrome. Dopo avere risolto la falla CVE-2023-2033 il 16 aprile 2023 con la distribuzione di Chrome 112.0.5615.121 per Windows, macOS e Linux, sugli stessi sistemi operativi arriva il fix per CVE-2023-2136, altra vulnerabilità per la quale è stata confermata l’esistenza di un exploit. L’aggiornamento con la correzione è già disponibile in tutto il mondo ma, per ora, esclusivamente su Windows e Mac.
Risolta altra vulnerabilità zero-day in Google Chrome
CVE-2023-2136 è una vulnerabilità presente in Skia, libreria grafica 2D multipiattaforma open source di proprietà di Google. Con un bug di overflow le operazioni possono portare a comportamenti imprevisti del software, con implicazioni negative lato sicurezza in quanto porterebbero al danneggiamento della memoria e all’esecuzione di codice non autorizzato.
A segnalare la vulnerabilità è stato Clément Lecigne del Threat Analysis Group di Google e, come da pratica standard, la società statunitense non ha rivelato alcun dettaglio in merito alle tecniche di utilizzo di questa falla negli attacchi, confermando tuttavia l’esistenza di un exploit.
Nel bollettino di sicurezza si legge:
“L’accesso ai dettagli dei bug e ai collegamenti verrà limitato fino a quando la maggior parte degli utenti non riceverà l’aggiornamento con una correzione. Manterremo le restrizioni se il bug esiste in una libreria di terze parti da cui dipendono in modo simile altri progetti, ma non sono ancora stati risolti.”
Per correggere questa e altre sette vulnerabilità all’interno di Google Chrome, pertanto, è sufficiente aprire il browser, recarsi nelle Impostazioni e poi sulla scheda “Informazioni su Google Chrome”. Una volta aperta, il browser scaricherà e installerà automaticamente la versione 112.0.5615.137, che arriverà su Linux “a breve”.
Ti potrebbe interessare
20 apr 2023