Nuova vulnerabilità zero-day di Google Chrome. Aggiorna subito il tuo browser

Dall’inizio del 2023, la CVE-2023-5217 è quinta vulnerabilità Zero-Day di Google Chrome che gli hacker sono riusciti a sfruttare attivamente.

Dalle rilevazioni, pare che la falla sia stata usata principalmente per l’installazione di spyware sul sistema vittima. Per tale ragione, Google raccomanda di aggiornare tempestivamente tutti i browser dell’ecosistema Chromium, tra cui:

Google Chrome
Microsoft Edge
Brave
Opera
Vivaldi.

Vediamo insieme quali informazioni sono note su questa vulnerabilità e sulla minaccia in grado di sfruttarla per portare a compimento un attacco mirato ai sistemi. Ecco tutto quello che sappiamo in merito a quanto è accaduto.

Specifiche tecniche della vulnerabilità Zero Day di Chrome

La CVE-2023-5217 è una vulnerabilità zero-day di tipo heap buffer overflow della libreria open source libwebp. Questo significa che la falla non interessa direttamente Chrome. ma una libreria, la libwebp, utilizzata per la codifica di file multimediali in formato WebP.

Quest’ultimo, è stato progressivamente integrato nei browser perché offre migliori funzionalità di compressione delle immagini rispetto ai tradizionali JPEG e PNG.

In sintesi, libwebp è una raccolta di funzioni e routine che gli sviluppatori possono usare per supportare il formato d’immagine WebP nei loro programmi. Tornando alla falla di sicurezza, possiamo evidenziarne tre caratteristiche:

Si tratta di una vulnerabilità di tipo Heap Buffer Overflow, ovvero permette all’hacker di scrivere dati oltre i limiti previsti dal buffer in una regione di memoria, l’heap, utilizzata per la gestione dinamica dei dati
Interessa la codifica V8, basata sull’algoritmo Huffman coding, impiegato proprio per la compressione dei dati
È presente nelle versioni della libwebp dalla 0.5.0 alla 1.3.1, mentre la patch è stata applicata alla versione 1.3.2
La comunità informatica ha valutato questa vulnerabilità con il punteggio massimo in termini di gravità (10.0 sulla scala CVSS)

In breve, se sfruttata, la vulnerabilità permette all’attaccante di eseguire codice arbitrario sul sistema vittima, compresa l’installazione di software malevoli come gli spyware.

Aggiornamento Chrome: come eseguirlo

La falla di sicurezza è stata rilevata per la prima volta il 25 settembre 2023 da un ricercatore del Threat Analysis Group di Google.

Al 27 di settembre, con un Tweet, ne è stato confermato l’exploit effettivo (probabilmente da parte di Cytrox, produttore israeliano di spyware). Con la patch straordinaria, Google Chrome ha rilasciato il suo ultimo aggiornamento per i browser interessati. Assicurati, quindi, che Chrome sia aggiornato alla versione 117.0.5938.132.

Se il browser non si è aggiornato in maniera automatica, puoi eseguire l’operazione manualmente seguendo questi step:

Avvia il browser e fai clic sui tre punti verticali nell’angolo in alto a destra.
Nel menu a discesa, vai su “Guida” e seleziona “Informazioni su Google Chrome”.
Chrome cercherà automaticamente gli aggiornamenti e, se disponibili, li scaricherà. Se richiesto, fai clic su “Riavvia” per applicare l’aggiornamento.
Nella stessa scheda “Informazioni su Google Chrome”, assicurati che la versione mostrata sia l’ultima disponibile.

Vulnerabilità Google Chrome, l’importanza di adottare una soluzione di monitoraggio delle vulnerabilità

L’adozione di sistemi di monitoraggio delle vulnerabilità note e delle vulnerabilità zero-day è fondamentale per garantire la sicurezza informatica in un’azienda.

Le vulnerabilità note sono debolezze o errori nel software già identificati e, spesso, pubblicamente documentati, ma che non sono ancora stati corretti o per i quali un’organizzazione non ha ancora implementato la necessaria correzione. Senza un adeguato monitoraggio o Vulnerability Assessment, queste vulnerabilità possono diventare il varco attraverso cui gli attaccanti compromettono i sistemi. D’altra parte, le vulnerabilità zero-day sono debolezze sconosciute che non sono state ancora rese pubbliche o per le quali non esiste ancora una soluzione. Sono particolarmente pericolose poiché gli attaccanti possono sfruttarle senza che le aziende ne siano a conoscenza.

Avere sistemi che monitorano costantemente queste vulnerabilità significa essere sempre un passo avanti rispetto agli attaccanti, proteggendo le risorse aziendali, i dati dei clienti e mantenendo alta la reputazione dell’azienda.

Richiedi anche tu un Vulnerability Assessment per la tua azienda.

Autore articolo
Gli ultimi articoli

Filomena Cignarale

Sono una studentessa magistrale in Informatica Umanistica.
Durante il percorso di studi triennale in Lettere e filosofia ho avuto l’opportunità di svolgere un anno di Servizio Civile Nazionale e un semestre di Erasmus per studio in Francia, nonché un breve periodo di Servizio Volontario Europeo in Croazia.
Attualmente, con un gruppo di altri cinque ragazzi, porto avanti un progetto che aiuta start-up e piccole realtà imprenditoriali a delineare i primi step per le loro strategie social.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.