Una vulnerabilità di Chrome senza patch è finita sotto i riflettori nel modo peggiore possibile: con il codice dell’exploit pubblicato per errore da Google stessa. Un pasticcio che riguarda tutti i browser basati su Chromium, compreso Microsoft Edge, e che apre scenari piuttosto preoccupanti per milioni di utenti. La storia ha radici lontane. La falla era stata segnalata dalla ricercatrice Lyra Rebane a dicembre 2022. A quel punto, l’azienda di Mountain View aveva considerato il problema risolto. Peccato che a fine ottobre 2024 uno sviluppatore Google si sia accorto che la correzione, in realtà, non aveva funzionato. La vulnerabilità di Chrome era ancora lì, intatta.
Il 20 maggio scorso le restrizioni di accesso al thread sul Chromium Issue Tracker sono state rimosse, convinti che la patch fosse stata finalmente distribuita. La ricercatrice però ha verificato che il problema persisteva. E a quel punto il danno era fatto: il codice dell’exploit era diventato pubblico. Google ha bloccato nuovamente l’accesso al thread, ma ormai i buoi erano fuggiti dalla stalla, come si dice. Quello che rende la situazione particolarmente delicata è il tempo trascorso. Parliamo di quasi 42 mesi dalla segnalazione originale. Un’eternità, nel mondo della sicurezza informatica.
Cosa permette di fare questa falla
La vulnerabilità riguarda Browser Fetch, uno standard che consente il download di file di grandi dimensioni in background, anche quando la scheda o il browser stesso sono chiusi. Il meccanismo è subdolo: basta nascondere nelle pagine web un codice JavaScript che apre un cosiddetto “service worker”, per esempio una richiesta di download, che rimane sempre attivo. In pratica funziona come una backdoor.
Attraverso questa connessione persistente, un attaccante può aggiungere il dispositivo a una botnet e usarlo per attacchi DDoS. Ma non solo. L’exploit consente anche di creare proxy anonimi, redirezionare il traffico verso siti infetti oppure monitorare l’attività online degli utenti. Chi usa Edge rischia ancora di più, perché nella finestra di download non viene mostrato nulla di sospetto. Al successivo riavvio del browser, poi, la finestra non compare nemmeno.
C’è almeno un aspetto che limita i danni: la vulnerabilità di Chrome non consente di aggirare le protezioni del browser né di accedere ai file del sistema operativo. Non siamo quindi di fronte a un compromesso totale della macchina, ma il rischio resta concreto e tutt’altro che trascurabile, soprattutto considerando che l’exploit è ora nelle mani di chiunque.
Quando arriva la correzione
Google ha promesso che rilascerà una patch in tempi brevi. Una promessa che suona un po’ amara, visto che la segnalazione originale risale a oltre tre anni e mezzo fa. Nel frattempo, l’exploit verrà quasi certamente sfruttato per attacchi informatici, a meno che la correzione non arrivi davvero nei prossimi giorni. La pressione su Google adesso è enorme, e ogni giorno che passa senza un aggiornamento aumenta il rischio per gli utenti di tutti i browser basati su Chromium.
Rimani aggiornato seguendoci su Google News!
