Google ha risolto sette vulnerabilità di sicurezza nel browser web Chrome. Tra questi vi erano anche due zero-day sfruttati durante la competizione di hacking Pwn2Own Vancouver 2024. Il primo (tracciato come CVE-2024-2887) è una vulnerabilità di confusione di tipo nello standard aperto WebAssembly (Wasm). L’esperto di sicurezza Manfred Paul ha dimostrato questa vulnerabilità il primo giorno di Pwn2Own come parte di un exploit RCE (doppio tocco di esecuzione di codice remoto). Egli ha utilizzato una pagina HTML creata appositamente e prendendo di mira sia Chrome che Edge.
Il secondo zero-day è tracciato come CVE-2024-2886. Questo è stato sfruttato da Seunghyun Lee di KAIST Hacking Lab durante il secondo giorno del concorso CanSecWest Pwn2Own. Questo è stato descritto come un punto debole use-after-free (UAF) nell'API WebCodecs utilizzata dalle app web per codificare e decodificare contenuti audio e video. Tale vulnerabilità consente agli aggressori remoti di eseguire letture/scritture arbitrarie tramite pagine HTML predisposte. Lee ha utilizzato anche CVE-2024-2886 per ottenere l'esecuzione di codice in modalità remota utilizzando un unico exploit rivolto sia a Google Chrome che a Microsoft Edge. Google ha corretto i due zero-day nel canale stabile di Google Chrome, versione 123.0.6312.86/.87 per Windows e Mac e 123.0.6312.86 per utenti Linux. Quest’ultimo aggiornamento verrà lanciato in tutto il mondo nei prossimi giorni.
Confirmed! Our final attempt of the day had Manfred Paul (@_manfp) execute a double-tap on both #Chrome and #Edge browsers with the rare CWE-1284 Improper Validation of Specified Quantity in Input. He earns $42,500 and 15 Master of Pwn points. #Pwn2Own pic.twitter.com/GKbst3SbHU
— Zero Day Initiative (@thezdi) March 21, 2024
Google: al Pwn2Own Vancouver 2024 dimostrati 29 exploit zero-day
Mozilla ha anche corretto due zero-day di Firefox sfruttati da Manfred Paul al Pwn2Own Vancouver 2024. Ciò è avvenuto lo stesso giorno in cui è stata dimostrata la demo dei bug. Anche se Mozilla ha impiegato solo un giorno e Google cinque giorni per correggere queste vulnerabilità, i fornitori di solito si prendono il tempo necessario per rilasciare patch per i difetti di sicurezza dimostrati su Pwn2Own. Questi hanno 90 giorni per inviare le correzioni, fino a quando la Zero Day Initiative di Trend Micro non rivela pubblicamente i dettagli del bug.
A gennaio, Google ha anche risolto uno zero-day attivamente sfruttato in Chrome (CVE-2024-0519). Questo consentiva agli aggressori di accedere a informazioni sensibili o di mandare in crash i browser senza patch. Causa di ciò era un punto debole di accesso alla memoria fuori dai limiti nel motore JavaScript Chrome V8. Il concorso Pwn2Own 2024 di Vancouver si è concluso il 22 marzo. I ricercatori di sicurezza hanno guadagnato 1.132.500 dollari per aver dimostrato 29 exploit zero-day e catene di exploit nell'arco di due giorni. Manfred Paul è emerso come il vincitore di quest'anno con 202.500 dollari di ricompensa per aver risolto bug sui browser Apple Safari, Google Chrome e Microsoft Edge.