Google corre rapidamente ai ripari, ancora una volta nel giro di pochi giorni, per risolvere alcune vulnerabilità di sicurezza nel browser Chrome.
Tra le 10 problematiche sanate con il rilascio di Chrome 86.0.4240.183 per Windows, macOS e Linux ce n’è una particolarmente grave perché può portare all’esecuzione di codice arbitrario in modalità remota, già sfruttata da gruppi di criminali informatici per condurre attacchi.
Il nuovo zero-day RCE (remote code execution) è contraddistinto con l’identificativo CVE-2020-16009 ed è descritto come un bug insito in V8, il “motore” di Google che si occupa della gestione di codice JavaScript e WebAssembly.
I tecnici dell’azienda di Mountain View sono orientati a tenere segreti i dettagli sul funzionamento della vulnerabilità e il corrispondente codice exploit fintanto che la maggior parte degli utenti di Chrome non avrà scaricato e installato la nuova versione.
Google sta già controllando se lo stesso problema di sicurezza fosse presente in una libreria sviluppata da terze parti e derivata da V8 (è un progetto opensource).
L’aggiornamento 86.0.4240.183 di Chrome risolve anche una falla che potrebbe facilitare attività di sandbox escaping quindi consentire l’esecuzione di codice al di fuori del perimetro del browser.
Gli sviluppatori di Google hanno poi risolto altre 8 lacune di sicurezza più o meno critiche individuate entro vari componenti del browser.
Il consiglio è quello di provvedere immediatamente all’aggiornamento del browser: si può digitare chrome://settings/help
nella barra degli indirizzi per procedere in tal senso.
Maggiori informazioni nell’articolo Aggiornamento Chrome: perché effettuarlo e cosa significano le icone.