Google ha rilasciato una patch di sicurezza di emergenza per il browser Chrome. il programma sembra essere affetto dalla vulnerabilità chiamata Zero-Day.
L’aggiornamento verrà distribuito in tutto il mondo sui sistemi operativi desktop Windows, Mac e Linux.
La vulnerabilità è designata con il nome in codice CVE-2021-37973 e denominata “Use After Free”. Il bug causerebbe un arresto anomalo del programma, e permette di alterare valori o eseguire codice malevolo.
La vulnerabilità nel browser Chrome si è verificata nell’API del portale, che è un sistema di navigazione web progettato per semplificare le transizioni tra le pagine web. Questa funzione è simile a iframe in cui viene consentito l’incorporamento, ma questo portale è dotato di una funzione aggiuntiva che consente di accedere al loro contenuto.
La causa e’ quindi da imputare alla debolezza di Use-After-Free (UAF) che fa nascere il bug relativo all’uso errato della memoria dinamica durante il funzionamento del programma. L’utilizzo della memoria precedentemente liberata può anche causare il danneggiamento di dati, non riconoscendo quale parte del programma è responsabile della liberazione della memoria.
Una volta che questa vulnerabilità è stata sfruttata con successo, a seconda dell’installazione e dei tempi della falla, gli aggressori informatici possono eseguire codice arbitrario sui sistemi e corrompere i dati.
Google in allerta
Google ha pubblicato un rapporto di avviso sulla sicurezza contro CVE-2021-37973 e dichiara di essere a conoscenza di questa vulnerabilità di sicurezza. Nonostante questo, ulteriori informazioni non sono state ancora rivelate dalla società.
E’ stato dato credito a Clément Lecigne del Google Threat Analysis Group (TAG) per aver segnalato la vulnerabilità e Sergei Glazunov e Mark Brand di Google Project Zero che hanno contribuito come assistenza tecnica per il rapporto.
Nel frattempo la società ha consigliato di aggiornare all’ultima versione (94.0.4606.61) del browser Chrome su Windows, Linux e Mac. Questo aggiornamento mitiga la vulnerabilità zero-day che viene sfruttata attualmente.
Hanno anche consigliato di aggiornare immediatamente le versioni di Chrome poiché la falla viene attivamente sfruttata ma non è ancora chiaro se anche altri browser basati su Chromium siano interessati o meno.
Per verificare la presenza di nuovi aggiornamenti, apri Google Chrome e vai a Menu, Impostazioni e clicca su informazioni su Chrome.