Rilevata la prima vulnerabilità 0-day del browser Chrome per questo 2023.
Il gigante di Menlo Park ha sollecitato affinché tutti gli utenti Windows, Linux e macOS aggiornassero al più presto i propri browser Chrome ed Edge, rispettivamente alle versioni:
- 112.0.5615.121
- 112.0.1722.48
Analizziamo, quindi, caratteristiche e potenziali conseguenze della criticità di sicurezza.
Vulnerabilità Zero-Day Chrome: di cosa si tratta
Classificata come CVE-2023-2033, la falla di sicurezza di Chrome è stata scoperta dal Google Threat Analysis Group lo scorso 11 Aprile 2023.
Per la risoluzione, è stato effettuato un aggiornamento di emergenza con una patch di sicurezza rilasciata a soli tre giorni di distanza dalla scoperta del bug.
Si tratta di una vulnerabilità zero-day classificata come “type confusion” di elevata criticità che interessa V8 JavaScript engine, assembly utilizzato nei browser Chrome e Chromium.
Per tale ragione, ad esserne interessato non è soltanto Chrome, ma tutti i browser basati sullo stesso linguaggio, tra cui Microsoft Edge, Opera, Brave e Vivaldi.
Specifiche e conseguenze della vulnerabilità type confusion di Chrome
Nella pratica, la vulnerabilità di Chrome interessa il processo di allocazione o inizializzazione di una risorsa.
Nel momento in cui subentra una vulnerabilità type confusion, infatti, è possibile scrivere nel blocco di memoria un oggetto o una variabile con uno specifico puntatore di tipo, ma poi accedervi e leggerlo con un altro puntatore.
Si tratta di una vulnerabilità logica, che permette di:
- accedere senza autorizzazione agli spazi di memoria
- causare arresti anomali del browser
- eseguire codice arbitrario sui dispositivi compromessi
Google raccomanda l’aggiornamento immediato dei browser Chrome ed Edge
La CVE-2023-2033 è molto simile ad altre criticità venute a galla negli scorsi anni. Quattro nel solo 2022.
Come nelle precedenti occasioni, Google si è riservata di non rilasciare ulteriori dettagli sulla falla prima che la maggior parte degli utenti non abbia scaricato l’aggiornamento.
In una dichiarazione ufficiale, la società ha infatti annunciato: “L’accesso ai dettagli dei bug e ai link può essere limitato fino a quando la maggior parte dei device non verranno aggiornati mediante una patch.”
Aggiungendo, inoltre: “Manterremo le restrizioni anche se il bug dovesse essere riscontrato in una libreria di terze parti.”
Agendo diversamente, infatti, fornirebbe agli hacker ulteriori spunti di exploitation della vulnerabilità, mettendo ulteriomente a rischio la sicurezza di 3,38 miliardi di utenti già potenzialmente esposti.
A tanto, infatti, ammonta il bacino di utenza di Chrome, che da solo rappresenta circa il 64,8% delle quote di mercato.
La raccomandazione, dunque, resta quella di aggiornare il prima possibile i propri browser Edge e Chrome (senza dimenticare Opera, Brave o Vivaldi, qualora se ne facesse uso).
Tendenzialmente l’aggiornamento viene scaricato in automatico, ma si consiglia di verificare la versione in esecuzione e, nell’eventualità, effettuare la procedura manualmente.
Per farlo, basta:
- aprire Chrome ed Edge (o uno degli altri browser menzionati)
- accedere al menù del browser in alto a destra
- fare click su Impostazioni
- selezionare dal menu sulla sinistra la voce “Informazioni su Chrome”/”Informazioni su Microsoft Edge”
A questo punto, è possibile verificare la versione corrente e installare l’ultima patch, qualora non fosse già presente.
Una volta riavviato, si può tornare a utilizzare il browser in tutta sicurezza.
Vulnerabilità Zero-Day: cosa sono e perché sono così pericolose
Per definizione, le vulnerabilità zero-day sono falle di sicurezza sconosciute ai produttori dei software, ma potenzialmente già note e sfruttate dagli hacker.
Il loro potenziale di rischio è più elevato in quanto offre agli aggressori un enorme vantaggio sul tempo.
L’appellativo “zero-day”, infatti, evidenzia come, una volta scoperte, gli addetti alla sicurezza dispongano di “zero giorni” per implementare le patch di risoluzione.
Insomma: le vulnerabilità sconosciute sono come ordigni pronti ad esplodere in qualsiasi momento, e con un potenziale distruttivo ben più elevato rispetto all’exploit di criticità già note.
Tutto questo evidenzia come il rilevamento e la correzione dei bug sia cruciale
- tanto nelle fasi di implementazione degli applicativi
- quanto durante l’intero ciclo di vita del prodotto
Security-by-Design, Vulnerability Assessment e aggiornamenti costanti: ecco alcune delle parole chiave per prevenire e mitigare la piaga delle vulnerabilità zero-day.
- Autore articolo
- Gli ultimi articoli
Sono CTO, socio della società Onorato Informatica e il Direttore del Security Operations Center.
Aiuto le imprese e i professionisti a progettare e implementare servizi di sicurezza informatica e a difendersi dagli attacchi informatici di hacker e virus.
Da oltre vent’anni mi occupo di linguaggi di programmazione: C, C++, C#, VB.NET, HTML, PHP e JAVA. Dirigo lo sviluppo e la gestione soluzioni di sicurezza informatica per aziende e enti tramite servizi di Web Security, Network Security, Anti-DDoS, Intrusion Prevention Systems, Perimeter Security, Network Segmentation, Security Information and Event Management, Threat and Vulnerability Management.
A differenza delle classiche soluzioni di sicurezza informatica, noi lavoriamo con servizi sviluppati internamente ad alte performance; utilizziamo solo tecnologie esclusive e certificate.
Inoltre, negli ultimi 10 anni ci siamo specializzati nella pianificazione, progettazione e implementazione dei servizi di Vulnerability Assessment e Penetration Test di sistemi e infrastrutture, comprese WebApp, Mobile e IoT.