Google Chrome: corretta falla zero-day sfruttata dagli hacker

Google ha distribuito un aggiornamento alla versione 117.0.5938.132 di Chrome per risolvere una grave falla di sicurezza scoperta da uno dei suoi dipendenti. Denominato CVE-2023-5217, questo bug di heap buffer overflow consente ai criminali informatici di sfruttare il codec video VP8 per installare spyware o eseguire codice da remoto.

In un post su Twitter, Maddie Stone, membro del dipartimento Analisi delle minacce di Google, ha dichiarato: “Clem1 ha scoperto un’altra falla zero-day sfruttata da una società di sorveglianza: CVE-2023-5217. Grazie a Chrome per aver pubblicato una patch in DUE giorni“.

.@_clem1 discovered another ITW 0-day in use by a commercial surveillance vendor: CVE-2023-5217. Thank you to Chrome for releasing a patch in TWO 🤯day!! https://t.co/QhzJonwLXi

— Maddie Stone (@maddiestone) September 27, 2023

Data la complessità dell’implementazione di un attacco che sfrutta questo bug, possiamo immaginare che i criminali informatici stiano effettuando “attacchi mirati con spyware” e che siano “sponsorizzati da governi e gruppi che mirano a individui ad alto rischio come giornalisti e politici dell’opposizione“.

L’aggiornamento alla versione 117.0.5938.132 di Chrome, di solito, è automatica, ma è bene verificare che sia stato installato correttamente. Il bug CVE-2023-5217 è la quinta vulnerabilità patchata da Google dall’inizio dell’anno. Due settimane fa, un altro codec difettoso, WebP, ha esposto il browser Chrome e altre applicazioni agli hacker.

Come si aggiorna Chrome?

Se il browser non risulta aggiornato, è bene correre subito ai ripari e seguire questa procedura.

• Aprire Chrome.
• Fare clic sui tre puntini.
• Nella scheda Guida, fare clic su Informazioni su Google Chrome.
• Il browser dovrebbe suggerire l’installazione della versione 117.0.5937.132.
• Riavviare il browser per confermare la procedura.