Aggiornate subito Chrome: ha un bug pericoloso
Un gravissimo bug permette agli hacker di installare spyware e altro software pericoloso sui computer con browser Chrome, ma c'è già la soluzione
Si chiama CVE-2023-5217, è stato scoperto e risolto in appena 48 ore ed è un bug di Chrome talmente pericoloso che è meglio non descriverlo in modo troppo dettagliato, altrimenti qualcuno potrebbe sfruttarlo prima che milioni di computer vengano aggiornati e messi al sicuro.
Perché, in realtà, c’è già almeno un caso noto di sfruttamento della vulnerabilità CVE-2023-5217 ed è da parte di una non meglio precisata società di sorveglianza online.
Per dirla in altre parole: c’è già in vendita uno spyware commerciale che sfrutta la CVE-2023-5217 e che potrebbe infettare tutti i computer con una versione di Chrome non aggiornata. Ma non solo di Chrome, a dirla tutta, perché il problema è all’interno di una libreria usata anche dagli altri browser del progetto Chromium.
CVE-2023-5217: di che si tratta
La vulnerabilità CVE-2023-5217 dipende da un “heap buffer overflow” all’interno della libreia open source libvpx, che serve per la decodifica dei video in VP8 di tipo WebM.
Per farla molto più facile, un hacker può usare un video per aprire una enorme falla nel nostro computer, attraverso cui costringere il computer a scaricare e installare del software pericoloso. Di più non si sa, perché Google ha preferito non divulgare i dettagli tecnici di questo bug per non favorire gli hacker.
E ciò vuol dire che sfruttare la falla è veramente facile, se si sa come fare, tanto è vero che il Nist (National Institute of Standards and Technology) americano ha classificato questa vulnerabilità con uno score di 8,8 su 10.
Impressionante la velocità con cui questo bug è stato scoperto, affrontato e corretto: appena due giorni. La scoperta la dobbiamo a Clément Lecigne, giovanissimo ingegnere del Threat Analysis Group (TAG) di Google. La successiva soluzione del bug è stata a carico dei suoi colleghi che sviluppano Chrome.
CVE-2023-5217: come difendersi
La vulnerabilità CVE-2023-5217 non colpisce tutti i dispositivi sui quali gira Chrome, ma è pericolosa per tutti i computer con sistema operativo Windows, macOS e Linux. Non è necessario alcun aggiornamento, invece, per chi usa Chrome su smartphone, tablet o Smart TV.
Generalmente Chrome si aggiorna da solo, scaricando in background gli update e poi avvisando l’utente, che dovrà riavviare il browser. In caso contrario è necessario andare su Impostazioni > Informazioni su Chrome e verificare se è disponibile un update.
Per quanto riguarda gli altri browser basati su Chromium (Edge, Opera, Vivaldi, Samsung Internet solo per citare i più famosi), Google afferma che lo stesso bug potrebbe essere presente nelle rispettive versioni della libreria libvpx, per tale motivo l’uso di tale libreria subirà delle “restrizioni” fintanto che il bug non verrà corretto.
Ciò significa che, molto probabilmente, anche gli altri browser verranno aggiornati nei prossimi giorni.
