Il consiglio per chi utilizza Chrome su una piattaforma desktop è quello di verificare appena possibile la disponibilità del più recente aggiornamento, scaricarlo e installarlo. Per forzare la procedura è sufficiente aprire il menu principale, selezionare la voce "Guida" e infine "Informazioni su Google Chrome". Prenderà così il via il processo di download e installazione, al termine del quale sarà chiesto di effettuare un riavvio del software. Il motivo è presto detto: l'update chiude una vulnerabilità 0-day potenzialmente pericolosa.
Google chiude una vulnerabilità 0-day di Chrome
La falla è identificata come CVE-2022-2856. Stando a quanto reso noto, è già stata presa di mira da un exploit. Si tratta della quinta di questo tipo che, dall'inizio dell'anno, ha richiesto un intervento celere sul browser da parte del gruppo di Mountain View. Le precedenti erano CVE-2022-0609 (febbraio), CVE-2022-1096 (marzo), CVE-2022-1364 (aprile) e CVE-2022-2294 (luglio).
Dopo aver eseguito l'aggiornamento, disponibile su Windows, macOS e Linux, Chrome passa alla versione 104.0.5112.101 o 104.0.5112.102 (a seconda del sistema operativo) come si può osservare dallo screenshot allegato qui sotto.
Sono in totale 11 i fix per la sicurezza che l'update porta con sé. Le altre falle interessate sono CVE-2022-2852 (Federated Credential Management API), CVE-2022-2854 (SwiftShader), CVE-2022-2855 (ANGLE), CVE-2022-2857 (Blink), CVE-2022-2858 (Sign-In Flow), CVE-2022-2853 (Download), CVE-2022-2859 (Chrome OS Shell), CVE-2022-286 (cookie) 0 e CVE-2022-2861 (Extensions API).
Ulteriori informazioni sono consultabili sul blog ufficiale. Come sempre accade in questi casi, non sono stati comunicati i dettagli tecnici di quella 0-day, accadrà solo dopo che una quota consistente di utenti avrà scaricato e installato l'aggiornamento. A proposito di CVE-2022-2856, sappiamo che è stata segnalata da due membri del Threat Analysis Group interno a bigG (Ashley Shen e Christian Resell) e che impatta sul sistema Intents impiegato per lanciare applicazioni o servizi Web direttamente da una pagina Web.