Tra il 18 e il 24 febbraio Google ha rapidamente rilasciato due aggiornamenti per Chrome che consentono di risolvere, nel complesso, 6 vulnerabilità di sicurezza ad elevata criticità. Alcune di esse sono state scoperte internamente dai membri del team del Google Threat Analysis Group mentre altre sono state segnalate da ricercatori autonomi, premiati con somme tra 5.000 e 7.500 dollari a seconda della gravità del problema evidenziato.
Per ovvi motivi i tecnici di Google hanno preferito, al momento, non fornire alcun dettaglio tecnico sulle problematiche risolvibili scaricando e applicando l’ultimo aggiornamento di Chrome (release 80.0.3987.122 per Windows, macOS e Linux).
Si sa già, tuttavia, che alcuni exploit sarebbero già utilizzati attivamente da gruppi di criminali informatici per eseguire codice arbitrario (quindi malevolo) sui sistemi degli utenti finali.
Il consiglio è di digitare chrome://settings/help
nella barra degli indirizzi di Chrome o scegliere la voce Guida, Informazioni su Google Chrome dal pulsante in alto a destra del browser (raffigurante tre puntini in colonna). In questo modo si forzerà il browser di Google a verificare e scaricare l’aggiornamento più recente. È buona norma, come spiegato nell’articolo Aggiornamento Chrome: perché effettuarlo e cosa significano le icone, non ignorare mai il colore dell’icona con una freccia che talvolta può comparire nell’interfaccia di Chrome in alto a destra e procedere tempestivamente con l’installazione delle nuove versioni messe a disposizione da Google.
Uno degli zero-day risolti dai tecnici di Google è indicato come una falla “type confusion in V8“. V8 è il componente di Chrome responsabile dell’elaborazione del codice JavaScript; questo tipo di bug, sfruttabile dai criminali informatici, fa sì che operazioni di esecuzione di codice arbitrario possano essere inizializzate modificando il tipo di codice con cui il browser ha a che fare.
Ci sono poi problematiche di tipo “use after free“: quando del codice tenta di accedere a un’area della memoria che è stata precedentemente ripulita, il programma può andare in crash o verificarsi l’esecuzione di codice arbitrario.
Completano “il quadro” bug che possono causare buffer overflow, anche in questo caso con i rischi legati al caricamento di codice potenzialmente dannoso.