Con un aggiornamento di emergenza rilasciato ieri, Google ha corretto una nuova vulnerabilità zero-day in Chrome: tracciata come CVE-2023-5217, sarebbe stata utilizzata per installare uno spyware sui sistemi esposti.
Google non ha fornito ulteriori informazioni sugli attacchi analizzati, specificando che “l’accesso ai dettagli del bug e ai link potrebbe essere mantenuto limitato fino a quando la maggior parte degli utenti non effettuerà l’aggiornamento”.
Una scelta comunicativa responsabile che contribuisce a mitigare il rischio che altri attori delle minacce creino i propri exploit e li distribuiscano in scenari reali.
Vulnerabilità Libwebp ora guadagna la massima severità: come proteggersi dopo i cyber attacchi
Vulnerabilità zero-day in Chrome: i dettagli
La CVE-2023-5217 è la quinta vulnerabilità zero-day di Chrome sfruttata in attacchi dall’inizio dell’anno: Google ha confermato di essere consapevole dell’esistenza di un suo exploit in rete.
Cosa si può chiedere a ChatGPT? Scarica la guida 2023: consigli per l’uso, esempi ed opinioni
Il problema di sicurezza è causato da una debolezza di heap buffer overflow nella codifica VP8 della libreria open-source libvpx utilizzata per il codec video e sviluppata da Google stessa e dalla Alliance for Open Media (AOMedia).
L’impatto di un suo eventuale sfruttamento va dal crash dell’app all’esecuzione di codice arbitrario, compromettendone la disponibilità e l’integrità.
La scoperta della vulnerabilità è stata accreditata a Clément Lecigne, ricercatore del Threat Analysis Group (TAG) di Google. Lo stesso ricercatore l’ha quindi segnalata lo scorso 25 settembre 2023, mentre in un tweet di oggi la collega ricercatrice Maddie Stone ha confermato che la falla è stata sfruttata da un fornitore di spyware commerciale per colpire individui ad alto rischio.
.@_clem1 discovered another ITW 0-day in use by a commercial surveillance vendor: CVE-2023-5217. Thank you to Chrome for releasing a patch in TWO 🤯day!! https://t.co/QhzJonwLXi
— Maddie Stone (@maddiestone) September 27, 2023
Come aggiornare Chrome
La nuova vulnerabilità zero-day CVE-2023-5217 è stata risolta in Google Chrome 117.0.5938.132, che risulta essere già in distribuzione in tutto il mondo per gli utenti Windows, Mac e Linux nel canale Stable Desktop.
Come impostazione predefinita, il browser web controlla anche automaticamente la presenza di nuovi aggiornamenti e li installa automaticamente dopo il lancio successivo.
Per verificare la disponibilità dell’aggiornamento e installare subito la patch, è sufficiente avviare Chrome, cliccare sul pulsante con i tre puntini in alto a destra per accedere al menu Personalizza e controlla Google Chrome e spostarsi nella sezione Informazioni su Chrome.
Terminato il download dell’aggiornamento, è sufficiente cliccare sul pulsante Riavvia per applicare la patch.
Al successivo riavvio del browser, è sufficiente accedere nuovamente allo stesso menu per verificare la corretta installazione del nuovo aggiornamento.
@RIPRODUZIONE RISERVATA