Google corregge il primo zero-day di Chrome sfruttato nel 2024

Google ha rilasciato un nuovo aggiornamento di sicurezza per correggere la prima vulnerabilità zero-day di Chrome sfruttata dall'inizio dell'anno. Come rivelato da Big G nel suo blog, “Google è a conoscenza di segnalazioni secondo cui esiste un exploit per CVE-2024-0519”. L'azienda ha corretto lo zero-day per gli utenti del canale Stable Desktop, con versioni patchate distribuite in tutto il mondo agli utenti Windows (120.0.6099.224/225), Mac (120.0.6099.234) e Linux (120.0.6099.224) in meno di una settimana dopo essere stato segnalato a Google. Come sempre, l’azienda indica che l'aggiornamento di sicurezza potrebbe richiedere giorni o settimane per raggiungere tutti gli utenti interessati. Tuttavia, ad oggi sembra essere già disponibile. Per verificare la presenza dell’aggiornamento, basta recarsi nelle impostazioni del browser e cliccare su Informazioni su Chrome nella sezione di sinistra. L’update dovrebbe partire in automatico. Per installarlo basterà cliccare su “Riavvia”.

Google: i dettagli della vulnerabilità zero-day risolta su Chrome

La vulnerabilità zero-day di gravità elevata (CVE-2024-0519) è dovuta ad una falla che permette accesso alla memoria fuori dai limiti nel motore JavaScript di Chrome V8. Gli aggressori possono sfruttarla per ottenere l'accesso ai dati oltre la memoria buffer, fornendo loro l'accesso a informazioni sensibili o provocando un arresto anomalo. Oltre all'accesso non autorizzato alla memoria fuori dai limiti, CVE-2024-0519 potrebbe anche essere sfruttato per aggirare meccanismi di protezione come ASLR e rendere più semplice l'esecuzione del codice tramite un altro punto debole. Sebbene Google sia a conoscenza degli exploit zero-day CVE-2024-0519 utilizzati negli attacchi, la società non ha ancora condiviso ulteriori dettagli sulla vulnerabilità.

Oltre alla vulnerabilità zero-day di Chrome, Google ha anche corretto altri due bug tracciati come CVE-2024-0517 e CVE-2024-0518. Questi consentivano l'esecuzione di codice arbitrario su dispositivi compromessi. L'anno scorso, Google ha corretto otto bug zero-day di Chrome sfruttati negli attacchi. Alcuni di essi, come CVE-2023-4762, sono stati contrassegnati come zero-day utilizzati per distribuire spyware su dispositivi vulnerabili appartenenti a utenti ad alto rischio, tra cui giornalisti, politici dell'opposizione e dissidenti, diverse settimane dopo il rilascio delle patch da parte della società.