Chrome: risolto l'ottavo zero-day del 2023 sfruttato negli attacchi

Google ha recentemente rilasciato aggiornamenti di emergenza per correggere un'altra vulnerabilità zero-day di Chrome sfruttata attivamente. Si tratta l'ottava patch dall'inizio dell'anno. Come riportato sul blog ufficiale dell’azienda: “Google è a conoscenza dell'esistenza di un exploit per CVE-2023-7024”. Big G ha corretto il bug zero-day per gli utenti del canale Stable Desktop, con versioni patchate distribuite in tutto il mondo agli utenti Windows (120.0.6099.129/130) e agli utenti Mac e Linux (120.0.6099.129), un giorno dopo essere state segnalate. La vulnerabilità è stata scoperta da Clément Lecigne e Vlad Stolyarov del Threat Analysis Group (TAG) di Google. Sebbene Google abbia riferito che l'aggiornamento di sicurezza potrebbe richiedere giorni o settimane per raggiungere tutti gli utenti, questo sembra essere già disponibile.

Chrome: vulnerabilità zero-day risolta, ma senza rivelare i dettagli

Il bug zero-day appena risolto è tracciato come CVE-2023-7024 ed è considerato di gravità elevata. Questa è dovuta a una vulnerabilità di overflow del buffer di heap in WebRTC. Si tratta di un framework open source comune in molti browser, come Mozilla Firefox, Safari e Microsoft Edge, che fornisce funzionalità RTC (ad esempio, streaming video, condivisione di file e chiamate VoIP) tramite API JavaScript. Sebbene Google abbia ammesso che il bug CVE-2023-7024 sia stato sfruttato come zero-day, non ha voluto condividere ulteriori dettagli in merito. Big G ha infatti dichiarato che “L'accesso ai dettagli e ai collegamenti dei bug potrebbe essere limitato fino a quando la maggior parte degli utenti non verrà aggiornata con una correzione. Manterremo tali restrizioni se il bug è presente in librerie di terze parti da cui dipendono in modo simile altri progetti, ma che non è stato ancora risolto”.

Nel corso dell’anno Google ha risolto altri sette zero-day sfruttati negli attacchi, tracciati come CVE-2023-6345, CVE-2023-5217, CVE -2023-4863, CVE-2023-3079, CVE-2023-4762, CVE-2023-2136 e CVE-2023-2033. Alcuni di essi, come CVE-2023-4762, sono stati contrassegnati come bug zero-day utilizzati per distribuire spyware settimane dopo il rilascio delle patch da parte dell'azienda. Per verificare la disponibilità dell’aggiornamento, basta accedere alle impostazioni del browser e poi selezionare la voce “Informazioni su Chrome”. Se disponibile, l’aggiornamento partirà in automatico. Per finalizzare l’operazione, basterà cliccare sul tasto “Riavvia”.