Google ha rilasciato un nuovo aggiornamento di sicurezza d’emergenza per affrontare un’altra vulnerabilità zero-day nel browser Chrome: tracciata come CVE-2024-5274, è la quarta nel solo mese di maggio, l’ottava dall’inizio dell’anno.

Nel relativo bollettino di sicurezza, Google ha confermato l’esistenza di un exploit per la vulnerabilità zero-day che ha già consentito ai criminali informatici di sfruttarla in ambienti reali.

Tuttavia, l’azienda non ha per il momento condiviso alcun dettaglio sul bug in sé, né sullo sfruttamento in natura, ma ha accreditato Clement Lecigne del Threat Analysis Group (TAG) di Google e Brendon Tiszka di Chrome Security per aver segnalato la falla, lo scorso 20 maggio 2024.

Nuova zero-day in Chrome: i dettagli tecnici

La vulnerabilità è stata identificata nel motore V8 JavaScript e WebAssembly di Chrome e riguarda un bug di Type confusion nel motore V8 JavaScript e WebAssembly.

Ricordiamo che questa particolare tipologia di vulnerabilità si verifica quando un programma tenta di accedere a una risorsa di memoria utilizzando un tipo di file incompatibile: questo consente agli attori malevoli di eseguire accessi “out-of-bounds” (ossia, fuori dai militi) alla memoria, causare crash, eseguire codice arbitrario o bypassare il controllo degli accessi.

Come dicevamo, questa è la quarta vulnerabilità zero-day che Google ha corretto dall’inizio del mese, dopo CVE-2024-4671, CVE-2024-4761 e CVE-2024-4947, ed è l’ottava dall’inizio dell’anno:

1. CVE-2024-0519, vulnerabilità di accesso in memoria “out-of-bounds” in V8
2. CVE-2024-2886, vulnerabilità in WebCodecs di tipo Use-after-free (UAF, uso di memoria dinamica, anche se già deallocata, a causa di un errore nel codice)
3. CVE-2024-2887, vulnerabilità Type confusion in WebAssembly
4. CVE-2024-3159, vulnerabilità di accesso in memoria “out-of-bounds” in V8
5. CVE-2024-4671, vulnerabilità di accesso in memoria “out-of-bounds” in V8
6. CVE-2024-4761, vulnerabilità di accesso in memoria “out-of-bounds” in V8
7. CVE-2024-4947, vulnerabilità Type confusion in V8

Raccomandazioni per gli utenti e aggiornamenti consigliati

La scoperta della nuova vulnerabilità zero-day in Chrome e la tempestività con cui è stata corretta ci ricorda quanto sia importante adottare adeguate politiche di patching per prevenire possibili attacchi informatici ai nostri sistemi e mantenere un elevato livello di sicurezza e protezione.

Le vulnerabilità di Chrome, infatti, vengono spesso sfruttate dai fornitori di software di sorveglianza commerciale: già in altre occasioni i ricercatori del TAG di Google hanno segnalato diversi zero-day presi di mira dai fornitori di spyware.

La raccomandazione è, quindi, quella di aggiornare il prima possibile il browser Chrome alla versione 125.0.6422.112/.113 per Windows e macOS, e alla versione 125.0.6422.112 per Linux, al fine di mitigare potenziali minacce.

Allo stesso modo, anche gli utenti di browser basati su Chromium, come Microsoft Edge, Brave, Opera e Vivaldi, sono invitati ad applicare gli aggiornamenti non appena disponibili.

Come impostazione predefinita, il browser Web controlla automaticamente la presenza di nuovi aggiornamenti e li installa dopo il riavvio successivo del programma.

Per verificare la disponibilità dell’aggiornamento e installare subito la patch, è sufficiente avviare Chrome, cliccare sul pulsante con i tre puntini in alto a destra per accedere al menu Personalizza e controlla Google Chrome e spostarsi nella sezione Guida/Informazioni su Google Chrome.

Terminato il download dell’aggiornamento, è sufficiente cliccare sul pulsante Riavvia per applicare la patch.

Al successivo riavvio del browser, è sufficiente accedere nuovamente allo stesso menu Personalizza e controlla Google Chrome.

Da qui potremo verificare la corretta installazione del nuovo aggiornamento.