Chrome, scoperta falla di sicurezza, aggiornate subito il browser

Google ha appena rilasciato un importante aggiornamento per Chrome, all’interno della versione 80.0.3987.122 dell’app del browser per i sistemi operativi Windows, Mac, e Linux, ma non anche Chrome OS, iOS, e Android. Con questo update Google va a chiudere tre pericolose falle "zero-day", una delle quali è attualmente sfruttata dagli hacker per compiere attacchi.

La vulnerabilità in questione è stata classificata come CVE-2020-6418 e riguarda il motore JavaScript di Chrome, il cosiddetto componente V8. La falla consiste in un errore "type confusion": un bug del codice a causa del quale un’app inizializza le operazioni di esecuzione dei dati utilizzando input di un "type" specifico, ma viene indotta a trattare l’input come un "type" diverso. Questo errore causa la generazione di errori nella memoria gestita dal browser e può portare a situazioni in cui un hacker, che conosce la falla e sa come sfruttarla, è in grado di eseguire codice pericoloso all’interno del programma senza che nessuno possa fermarlo.

Attacco in corso

La pericolosità della vulnerabilità CVE-2020-6418 sembrerebbe molto elevata, anche a causa del fatto che Google stessa ammette che sono in corso attacchi che la sfruttano. Tuttavia, non abbiamo dettagli su chi, come, dove e quanto sta sfruttando la CVE-2020-6418 perché Google ha secretato le informazioni in merito. Nella pagina del sito del Chromium Project relativa a questa vulnerabilità, infatti, si può leggere solo una cosa: "Permission denied", permesso negato. Probabilmente saranno rilasciate ulteriori informazioni su questa vulnerabilità in futuro, dopo che gli utenti avranno avuto il tempo di applicare le patch contenute nell’aggiornamento incluso nella versione 80.0.3987.122 di Chrome.

Terzo caso in un anno

La vulnerabilità CVE-2020-6418 rappresenta il terzo caso di bug "zero-day" di Chrome che è stato sfruttato dagli hacker nell’ultimo anno. Google in precedenza ha patchato il primo zero-day di Chrome a marzo dell’anno scorso (CVE-2019-5786 in Chrome 72.0.3626.121), e poi un secondo a novembre (CVE-2019-13720 in Chrome 78.0.3904.8). Una vulnerabilità zero-day consiste in un problema nel codice di un’app che non è stato individuato al momento della scrittura del codice stesso e che viene scoperto solo in seguito. Per tanto, tutte le app non aggiornate contengono la vulnerabilità e, di conseguenza, è sempre meglio non diffondere molte informazioni in merito prima che la maggior parte degli utenti abbiano aggiornato l’applicazione e "chiuso" la falla.