Che cosa è accaduto?
Google ha individuato una nuova vulnerabilità zero-day (CVE-2022-0609) nei browser Chrome che viene sfruttata dagli hacker.
Cos’è possibile fare?
Google ha preparato un aggiornamento di Chrome (versione 98.0.4758.102) che sarà distribuita nei prossimi giorni/settimane.
L’aggiornamento può essere eseguito anche manualmente. Per controllare se il tuo browser è aggiornato, vai al menu di Chrome > Guida > Informazioni su Google Chrome. Viene aperta una nuova scheda che inizia la procedura di aggiornamento oppure informa che Chrome è già stato aggiornato alla versione più recente (98.0.4758.102 o superiore). Gli attacchi zero-day sono il tipo più pericoloso di exploit della sicurezza.
Approfondimento
Il Browser Chrome è stato aggiornato alla versione 98.0.4758.102 (versioni Windows, Mac e Linux). Il rilascio dell’aggiornamento è iniziato il 14 febbraio, ma potrebbe richiedere qualche settimana prima di raggiungere tutti i dispositivi.
Nel registro è disponibile un elenco completo delle modifiche incluse in questa build. Potrebbe essere presente qualche bug. In tal caso, si può segnalare il problema tramite il sito apposito oppure tramite il forum della community, dov’è possibile tenersi aggiornati su ogni argomento che riguarda Chrome.
Correzioni presenti in questo aggiornamento
Questo aggiornamento include undici correzioni relative alla sicurezza. Ne riportiamo alcune. Per ulteriori informazioni, consultare la pagina Chrome Security Page.
[$15000][1290008] High CVE-2022-0603: Use after free in File Manager. Reported by Chaoyuan Peng (@ret2happy) on 2022-01-22
[$7000][1273397] High CVE-2022-0604: Heap buffer overflow in Tab Groups. Reported by Krace on 2021-11-24
[$7000][1286940] High CVE-2022-0605: Use after free in Webstore API. Reported by Thomas Orlita on 2022-01-13
[$7000][1288020] High CVE-2022-0606: Use after free in ANGLE. Reported by Cassidy Kim of Amber Security Lab, OPPO Mobile Telecommunications Corp. Ltd. on 2022-01-17
[$TBD][1250655] High CVE-2022-0607: Use after free in GPU. Reported by 0x74960 on 2021-09-17
[$NA][1270333] High CVE-2022-0608: Integer overflow in Mojo. Reported by Sergei Glazunov of Google Project Zero on 2021-11-16
[$NA][1296150] High CVE-2022-0609: Use after free in Animation. Reported by Adam Weidemann and Clément Lecigne of Google’s Threat Analysis Group on 2022-02-10
[$TBD][1285449] Medium CVE-2022-0610: Inappropriate implementation in Gamepad API. Reported by Anonymous on 2022-01-08
Molti dei bug sono segnalati dagli utenti oppure da servizi come quelli che seguono: AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer o AFL.