Google Chrome ha ricevuto nelle ultime ore un aggiornamento di emergenza che mette una pezza a ben 33 vulnerabilità, sette delle quali classificate come critiche. La cosa più preoccupante è che alcune di queste falle potrebbero permettere l’esecuzione di codice non autorizzato da remoto, ovvero il tipo di problema che dovrebbe far scattare l’allarme a chiunque usi il browser ogni giorno.
Le versioni che risolvono tutto sono la 149.0.7827.155 oppure la 149.0.7827.156, già in distribuzione su Windows, macOS e Linux. Nella maggior parte dei casi l’aggiornamento si installa da solo, senza che nessuno debba muovere un dito, ma data la gravità della situazione conviene comunque controllare a mano. Basta aprire il menu dei tre puntini in alto a destra e cliccare su Informazioni su Google Chrome.
Cosa rischiavano davvero gli utenti
La parte più delicata riguarda le falle critiche. Sei su sette sono bug di gestione della memoria del tipo use-after-free. Per spiegarla senza tecnicismi pesanti, un attacco di questo genere può ingannare il browser e fargli usare zone di memoria che in teoria erano già state liberate. Il risultato è che del codice malevolo riesce a girare e a creare guai anche in altre parti del sistema operativo.
Questi problemi si nascondevano in componenti tutt’altro che secondari del browser, tra cui WebShare, WebView, Digital Credentials, Password Manager, File Input e Web Authentication. Vale la pena sottolineare la velocità con cui Google si è mossa. Tutti i bug erano stati segnalati tra la fine di maggio e l’inizio di giugno, e il più recente appena una settimana fa. Un intervento rapido, considerando la portata della faccenda.
Gli altri bug sistemati con la patch
Oltre alle vulnerabilità più gravi, Google ha corretto diversi problemi con un livello di rischio definito alto. Questi toccavano WebRTC, il sistema che gestisce le comunicazioni audio e video in tempo reale, il framework delle estensioni e la piattaforma Chromoting, quella pensata per l’accesso remoto.
Nel mucchio dei difetti risolti ci sono buffer overflow, letture fuori dai limiti di memoria, errori nella validazione degli input e quelle situazioni chiamate race condition. Roba che, se sfruttata, può portare a crash improvvisi, fughe di dati sensibili oppure a compromissioni più profonde del sistema. Niente di rassicurante, insomma.