Google ha rilasciato una correzione per CVE-2022-4135, una vulnerabilità zero-day ad alta gravità che interessa il browser Chrome. Il colosso dei motori di ricerca ha affermato che un exploit per la vulnerabilità, scoperto dal ricercatore di sicurezza francese Clement Lecigne, è disponibile allo scoperto, mettendo a rischio gli utenti.
Google ha affermato che non rivelerà nulla sull’esistenza della vulnerabilità “fino a quando la maggior parte degli utenti non verrà aggiornata con un rimedio” e che “conserverà anche i limiti se l’errore si verifica in una libreria di terze parti su cui si basano anche altri progetti, ma non hanno ancora riparato.” Google è stato in grado di rivelare che la vulnerabilità era un esempio di “heap buffer overflow“, una sorta di buffer overflow in cui un buffer suscettibile si trova nella sezione “heap” della memoria del sistema.
Google Chrome si aggiorna
Divulgare di più potrebbe “far trapelare” la vulnerabilità agli attori ostili prima che la stragrande maggioranza degli utenti di Google Chrome venga corretta correttamente. Gli utenti che desiderano evitare di essere colpiti possono eseguire l’aggiornamento a 107.0.5304.121 per Mac e Linux e 107.0.5304.121/.122 per Windows, che sarà disponibile nei giorni e nelle settimane seguenti.
Il famoso browser Chrome di Google ha indubbiamente accumulato un numero costante di falle di sicurezza negli ultimi anni. Secondo le statistiche di StatCounter, il browser detiene ora una quota di mercato del 66% e ha scoperto 303 vulnerabilità tra il 1° gennaio 2022 e il 5 ottobre 2022.
In confronto, Safari ha scoperto solo 26 vulnerabilità nello stesso periodo di tempo, mentre Microsoft Edge ne ha avute 103 e Mozilla Firefox è arrivato secondo con 117. Ciò include CVE-2022-3723, una vulnerabilità zero-day scoperta all’inizio di questo mese che sembrava essere un “problema di confusione del tipo” che interessava il motore JavaScript V8 di Chrome.
Secondo una ricerca della società di sicurezza informatica Avertium, la vulnerabilità potrebbe aver consentito a malintenzionati di indurre Chrome a lanciare spyware dannosi.