Registriamo oggi la distribuzione di una patch correttiva per Chrome, Chromium e tutti i browser da esso derivati. Si tratta dell’ottavo aggiornamento di emergenza che Google distribuisce quest’anno: l’ultimo era stato pubblicato appena ad ottobre scorso.
La vulnerabilità adesso risolta è stata descritta come a elevata criticità e può consentire a un aggressore remoto di eseguire codice arbitrario sul sistema remoto, ad esempio semplicemente inducendo la vittima ad aprire una pagina Web malevola o un documento altrettanto pericoloso.
Contraddistinta dall’identificativo CVE-2022-4135, la falla di sicurezza, venuta a galla in Chrome e scoperta da un membro del team Threat Analysis Group dell’azienda di Mountain View, Clement Lecigne, può determinare un heap buffer overflow ovvero un errore che provoca la sovrascrittura di una porzione di dati conservati in memoria. Solitamente si tratta di aree di memoria adiacenti il cui accesso è normalmente bloccato, perché ad esempio contengono dati importanti relativi al funzionamento del sistema operativo o di altre applicazioni critiche.
Se sfruttata, la lacuna di sicurezza in questione, potrebbe facilitare l’esecuzione di codice arbitrario sui sistemi degli utenti o la sottrazione di informazioni riservate.
Al momento i tecnici di Google non hanno chiarito se la falla alla base della vulnerabilità CVE-2022-4135 sia già utilizzata per condurre attacchi informatici: per maggior cautela, però, l’azienda ha per il momento deciso di tenere segreti i dettagli tecnici. Anche perché librerie e componenti di terze parti potrebbero soffrire del medesimo problema.
Agli utenti di Chrome e degli altri browser Web viene consigliato di aggiornare alla più recente versione disponibile. Nel caso di Chrome basta digitare chrome://settings/help
nella barra degli indirizzi e assicurarsi di utilizzare la release 107.0.5304.122 o successiva.
Nel caso della falla CVE-2022-3723, scoperta a ottobre 2022 da un gruppo di ricercatori di Avast, il codice exploit era già stato pubblicato sul Web e utilizzato dai criminali informatici per lanciare attacchi.