Chrome: Google risolve decimo zero-day sfruttato quest'anno

Google ha corretto la decima vulnerabilità zero-day sfruttata in natura nel 2024 da aggressori o ricercatori di sicurezza durante gare di hacking. Quest’ultima è tracciata come CVE-2024-7965 ed è stata segnalata da un ricercatore di sicurezza noto solo come TheDog. Tale vulnerabilità di gravità elevata (ora corretta) è descritta come un'implementazione inappropriata nel motore JavaScript V8 di Google Chrome. Inoltre, può consentire ad aggressori remoti di sfruttare la corruzione dell'heap tramite una pagina HTML creata ad hoc. L’azienda di Mountain View ha annunciato la nuova correzione pochi giorni dopo aver svelato di aver risolto un'altra vulnerabilità zero-day di gravità elevata (CVE-2024-7971) causata da una debolezza di confusione di tipo V8. Come si legge sul blog di Google: "Aggiornato il 26 agosto 2024 per riflettere lo sfruttamento in natura di CVE-2024-7965 segnalato dopo questa versione. Google è a conoscenza dell'esistenza in natura di exploit per CVE-2024-7971 e CVE-2024-7965".

Chrome: come installare il nuovo aggiornamento di sicurezza

Google ha corretto entrambi gli zero-day nella versione Chrome 128.0.6613.84/.85 per sistemi Windows/macOS e nella versione 128.0.6613.84 per utenti Linux. Tali aggiornamenti sono già stati distribuiti a tutti gli utenti nel canale Stable Desktop. Solitamente, Chrome si aggiorna automaticamente quando sono disponibili patch di sicurezza. Tuttavia, gli utenti possono anche velocizzare questo processo installando gli aggiornamenti in modo manuale. Per fare ciò basta accedere al menu di Chrome, selezionare Guida e poi cliccare su Informazioni su Google Chrome. L'aggiornamento partirà così in automatico. Una volta completato, per terminare l’operazione basterà semplicemente cliccare sul pulsante "Riavvia".

Mentre Google ha confermato che le vulnerabilità CVE-2024-7971 e CVE-2024-7965 sono state utilizzate in natura, non ha ancora condiviso maggiori informazioni su questi attacchi. Come affermato dall’azienda di Mountain View: "l'accesso ai dettagli e ai link dei bug potrebbe essere limitato finché la maggior parte degli utenti non verrà aggiornata con una correzione. Manterremo inoltre le restrizioni se il bug esiste in una libreria di terze parti da cui dipendono altri progetti in modo simile, ma che non sono ancora stati corretti".