Gli sviluppatori di Google sono stati costretti a rilasciare un aggiornamento di emergenza per Chrome: l’intervento non riguarda solamente il browser della società di Mountain View ma anche Chromium e i prodotti da questo derivati.
Vista la criticità del problema, Google ha preferito non fornire i dettagli tecnici del bug di sicurezza in modo da lasciare agli utenti l’aggiornamento del maggior numero di sistemi possibile.
Ciò che sappiamo è che la vulnerabilità contraddistinta con l’identificativo CVE-2022-3723, stata scoperta da un gruppo di ricercatori di Avast, è causa del fenomeno conosciuto come type confusion verificatosi nel motore open source V8 per la gestione di JavaScript e WebAssembly.
Un componente come V8 è fondamentale in un browser qual è Chrome perché è chiamato a elaborare tutto il codice JavaScript presente nelle pagine Web.
Abbiamo visto quant’è cruciale il ruolo del motore JavaScript di Chrome e di qualsiasi altro browser.
Nel caso di specie i criminali informatici potrebbero allestire una pagina HTML malevola che contiene codice JavaScript in grado di far leva sulla problematica. Secondo quanto riferito, codice exploit pubblicato sul Web potrebbe portare all’esecuzione di operazioni arbitrarie sui sistemi client degli utenti grazie anche alla possibilità di acquisire privilegi più elevati rispetto a quelli, estremamente contenuti, di cui godono i contenuti visualizzabili con il browser.
Un errore type confusion si verifica quando un software tenta di accedere ad alcune risorse usando tipi di dato differenti o comunque incompatibili con quello dichiarato in fase di inizializzazione.
Accedendo a regioni di memoria che non dovrebbero essere raggiungibili dal contesto dell’applicazione, un utente malintenzionato può leggere informazioni gestite da altri programmi, causare crash o eseguire codice arbitrario.
La falla CVE-2022-3723 sembra sia già attivamente utilizzata per condurre attacchi ma Google non ha chiarito le proporzioni delle aggressioni, se sfruttate in contesti specifici o su scala più ampia.
Certo è che quella rilasciata oggi è la settima patch di emergenza che Google distribuisce dall’inizio dell’anno, fuori dal normale ciclo dei rilasci di Chrome. L’aggiornamento critico, inoltre, viene posto sullo stesso piano – per esempio – della falla CVE-2022-0609 che all’inizio di quest’anno, settimane prima che Google la risolvesse, era stata largamente sfruttata da un gruppo di aggressori nordcoreano finanziato dallo Stato.
Essenziale è a questo punto aggiornare Chrome alla versione 107.0.5304.88 o successive: si può digitare chrome://settings/help
nella barra degli indirizzi e riavviare il browser quando richiesto.