Quando una vulnerabilità a elevata criticità interessa un browser Web è bene correre subito all’installazione delle patch correttive. Se un problema del genere interessa Google Chrome e per giunta è già utilizzato per aggredire gli utenti, allora è bene davvero procedere senza indugio con l’aggiornamento del browser.
Google ha confermato l’esistenza di un grave problema di sicurezza nelle versioni di Chrome per sistemi desktop antecedenti la release 105.0.5195.102.
Se usate Chrome per navigare sul Web cliccate sui tre puntini in alto a destra quindi scegliete Guida, Informazioni su Google Chrome oppure digitate chrome://settings/help
nella barra degli indirizzi.
Qualora non leggeste 105.0.5195.102 o successivo come numero di versione del browser, lasciate che Chrome si aggiorni automaticamente e acconsentite al riavvio.
Il fatto è che il problema di sicurezza non riguarda soltanto Chrome ma interessa Chromium e tutti i browser da esso derivati: Edge, Opera e Vivaldi per fare qualche nome. Microsoft stessa ha confermato di aver già risolto il problema con il rilascio di Edge 105.0.1343.27 che si basa sulla release 105.0.5195.102 di Chromium.
Considerata la delicatezza del problema, Google ha preferito non condividere dettagli particolareggiati sulla vulnerabilità in questione. Si sa solamente che essa è radicata in Mojo, un insieme di librerie runtime utilizzate dai browser basati su Chromium utilizzate per veicolare messaggi tra i vari processi.
Facile ipotizzare che il bug in questione possa consentire a un aggressore remoto di superare i confini della singola scheda aperta con la possibilità di interagire con gli altri siti Web aperti (possibilmente monitorando il traffico ed esfiltrando dati personali) oppure con il sistema sottostante.
La falla di sicurezza CVE-2022-3075 è stata segnalata a Google da un ricercatore che ha preferito rimanere anonimo, almeno per il momento. La severità della lacuna hanno indotto i tecnici dell’azienda di Mountain View a rilasciare un aggiornamento molto rapidamente, come peraltro già accaduto altre cinque volte nel corso del 2022.
Ritardando il rilascio di ulteriori informazioni sulla vulnerabilità Google punta a offrire agli utenti il tempo sufficiente per aggiornare e prevenire tentativi di sfruttamento, almeno fino a quando il codice exploit non diverrà noto a una platea più ampia di aggressori.