Google ha rilasciato un nuovo aggiornamento di Chrome per Windows, macOS e Linux che risolve un totale di 11 problemi di sicurezza. Di queste vulnerabilità, l’aggiornamento toppa un bug zero-day molto grave che è già stato sfruttato dagli attaccanti. È noto come una vulnerabilità ‘use-after-free’ che esiste nel componente Animation di Chrome. Un attaccante può sfruttare il bug per corrompere i dati o addirittura eseguire un codice sul sistema, senza farlo sapere agli utenti. Questo è in particolare il primo bug zero-day che colpisce il browser Chrome che è stato patchato da Google.
Attraverso un breve post sul blog, Google ha annunciato il rilascio della versione 98.0.4758.102 di Chrome per Windows, macOS e Linux che sarà distribuita agli utenti di tutto il mondo nei prossimi giorni.
Tra le altre correzioni disponibili nell’ultima release, il bug zero-day è stato identificato come CVE-2022-0609. È stato segnalato dal Threat Analysis Group di Google il 10 febbraio, secondo il post sul blog.
“Google è consapevole dei rapporti che un exploit per CVE-2022-0609 esiste in natura”, ha detto la società.
Considerando l’alta gravità del bug, si consiglia agli utenti di aggiornare immediatamente Chrome sui loro sistemi.
Anche se Chrome controlla automaticamente i nuovi aggiornamenti, è possibile cercare manualmente l’ultima versione andando su Chrome>About Google Chrome. Puoi anche controllare l’aggiornamento facendo clic sul pulsante a tre puntini nell’angolo più a destra e poi su Aiuto>Informazioni su Google Chrome.
Oltre al bug zero-day, la versione 98.0.4758.102 di Chrome corregge altri quattro problemi di sicurezza ‘use-after-free’ che sono classificati con alta gravità e sono stati trovati nel Fire Manager del browser, Webstore API, ANGLE e processo GPU. L’aggiornamento corregge anche un altro bug di alta gravità che era dovuto ad un problema di ‘heap buffer overflow’ che esisteva nei Tab Groups.
Inoltre, la nuova versione include una correzione per un problema di media gravità che esisteva a causa di un’implementazione inappropriata nell’API Gamepad, come da dettagli condivisi pubblicamente da Google.
Questa non è in particolare la prima volta che una vulnerabilità zero-day è stata trovata in Chrome. L’anno scorso, Google ha risolto un totale di 16 bug zero-day all’interno del browser attraverso diversi aggiornamenti di sicurezza.
I bug zero-day possono essere abbastanza dannosi per le masse in quanto vengono scoperti prima che i ricercatori di sicurezza e i fornitori di software diventino consapevoli della loro esistenza. I criminali informatici e gli aggressori possono sfruttare queste vulnerabilità prima che vengano alla ribalta per ottenere l’accesso ai dati e ai sistemi degli utenti.