Google ha invitato gli utenti di Chrome ad applicare immediatamente l’aggiornamento del browser 99.0.4844.84 per i sistemi Windows, macOS e Linux rilasciato nelle scorse ore. Per verificare la versione di Chrome che si sta utilizzando e forzare l’avvio dell’aggiornamento basta digitare chrome://settings/help
nella barra degli indirizzi.
La release in questione risolve un unico problema di sicurezza, contraddistinto dall’identificativo CVE-2022-1096. Si tratta di un’evidente spia del fatto che la vulnerabilità in questione, presentata come “Type Confusion in V8“, risulta particolarmente grave.
Google non ha fornito i dettagli del problema di sicurezza in questione ma ha spiegato che vari gruppi di criminali informatici ne stanno già traendo vantaggio per attaccare gli utenti.
Il motore V8 utilizzato da Chrome, Chromium e da tutti i browser da esso derivati permette la gestione del codice JavaScript e WebAssembly. In un altro articolo abbiamo illustrato nel dettaglio il funzionamento di V8 e spiegato perché si tratta di un componente di cruciale importanza.
Da parte sua Microsoft ha deciso di introdurre la modalità Super Duper in Edge, browser a sua volta basato su Chromium, proprio perché le falle scoperte nel motore V8 sono spesso causa di potenziali problemi. Con Super Duper Secure Mode Edge disattiva in modo predefinito il compilatore JIT (just-in-time) di V8 in modo da ridurre significativamente la superficie d’attacco.
Nel caso di specie Google non ha ancora condiviso le informazioni tecniche sulla falla CVE-2022-1096 considerato che ci vorranno settimane perché l’intera base di utenti di Chrome aggiorni il software. Il rischio, tuttavia, è quello che semplicemente visitando una pagina web malevola un aggressore possa riuscire a eseguire codice arbitrario sul sistema dell’utente con tutto ciò che ne consegue.
Gli sviluppatori di Lansweeper, una delle tante soluzioni che permettono di eseguire l’inventario dei PC connessi alla rete locale e dei software installati su ciascun sistema, ha anche pubblicato uno script che permette di verificare quali sistemi usano una versione obsoleta, quindi insicura, di Chrome.
Anche senza usare software simili è possibile effettuare una verifica dal prompt dei comandi con PsExec oppure con PowerShell. Usando PowerShell e WinRM è possibile gestire PC in rete locale mentre con PsExec si possono eseguire comandi da remoto in Windows usando account amministrativi.
In un altro articolo abbiamo visto come ottenere la lista dei programmi installati in Windows: gli stessi comandi valgono anche per i PC collegati in rete locale.
Ovviamente anche Microsoft ha rilasciato un aggiornamento per Edge che risolve la falla CVE-2022-1096. Invitiamo quindi tutti i lettori ad aggiornare il browser quanto prima.