Google ha rilasciato un nuovo aggiornamento di sicurezza di emergenza di Chrome per correggere una vulnerabilità zero-day sfruttata attivamente negli attacchi. Come riportato dalla stessa azienda di Mountain View: "Google è a conoscenza dell'esistenza di un exploit per CVE-2024-7971 in circolazione". Questa vulnerabilità zero-day di gravità elevata è causata da una debolezza type confusion nel motore JavaScript V8 di Chrome. I ricercatori di sicurezza del Microsoft Threat Intelligence Center (MSTIC) e del Microsoft Security Response Center (MSRC) l’avevano già segnalata lunedì. Sebbene tali falle di sicurezza possano comunemente consentire agli aggressori di innescare arresti anomali del browser dopo che i dati allocati nella memoria vengono interpretati come un tipo diverso, possono anche sfruttarli per l'esecuzione di codice arbitrario su dispositivi mirati che eseguono browser non patchati.
Chrome: aggiornamento già disponibile
Google ha risolto il problema zero-day con il rilascio di 128.0.6613.84/.85 per Windows/macOS e 128.0.6613.84 (Linux). Queste versioni che saranno distribuite a tutti gli utenti nel canale Stable Desktop nelle prossime settimane, anche se in molti casi sono già disponibili. L’aggiornamento si effettua in automatico, ma può anche essere avviato in modo manuale, dalle Impostazioni del browser e poi Informazioni su Chrome. Se l’aggiornamento è disponibile, partirà in automatico. Per finalizzare l’installazione basta solo cliccare sul tasto Riavvia.
CVE-2024-7971 è il nono zero-day di Chrome attivamente sfruttato e corretto da Google nel 2024. Big G ha confermato che la vulnerabilità CVE-2024-7971 è stata utilizzata negli attacchi. Tuttavia, l'azienda non ha ancora condiviso informazioni aggiuntive sullo sfruttamento in-the-wild. Come ricorda ancora Google: "l'accesso ai dettagli e ai link dei bug potrebbe essere limitato finché la maggior parte degli utenti non riceverà una correzione. Manterremo inoltre le restrizioni se il bug esiste in una libreria di terze parti da cui dipendono altri progetti in modo simile, ma che non è stata ancora corretta". È probabile che l’azienda di Mountain View pubblichi nuovi dettagli nel corso delle prossime settimane.