Chrome, scoperte tre vulnerabilità che mettono in pericolo gli utenti
Sono state scoperte tre vulnerabilità all'interno di Chrome che possono mettere in pericolo la sicurezza degli utenti: come difendersi
Google ha annunciato un aggiornamento fuori programma per le versioni Windows, Mac e Linux del suo browser Chrome, finalizzate a chiudere tre pericolose falle alla sicurezza che mettono in serio pericolo gli utenti.
Delle tre vulnerabilità, scoperte dal Chengdu Security Response Centre di Qihoo 360 e segnalate a Google, solo una è stata resa nota con il codice CVE-2019-5869. I dettagli sulle altre due verranno rivelati solo quando la nuova versione di Chrome, la 76.0.3809.132, verrà scaricata e installata dalla maggior parte degli utenti. I ricercatori di Qihoo 360, come previsto dal Google Security Reward Program, sono stati ricompensati con 5.500 dollari e ringraziati ufficialmente da Google in un post sul blog ufficiale del team di Chrome a firma di Srinivas Sista, technical program manager del browser di Big G.
La vulnerabilità CVE-2019-5869 di Chrome
Come ha spiegato la stessa Google, la CVE-2019-5869 è una vulnerabilità molto grave. Si annida dentro Blink, il motore di rendering grafico open source di Chrome, e permette agli hacker di sferrare attacchi DoS (Denial of Service, quelli che mandano in tilt i server rendendo i siti inaccessibili) ed attacchi RCE (Remote Code Execution, quelli che permettono a un hacker di eseguire da remoto un codice malevolo su un pc).
I rischi maggiori, sempre secondo Google, erano per le reti aziendali e quelle delle istituzioni. Tecnicamente, la vulnerabilità CVE-2019-5869 è un bug “use-after-free”. Cioè un problema di corruzione della memoria in cui viene attivato un tentativo di accesso alla memoria dopo che è stata cancellata. Tale tentativo può provocare l’arresto anomalo di un programma o l’esecuzione di un codice arbitrario.
Attacchi remoti
Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe installare programmi, visualizzare, modificare o eliminare i dati su un computer remoto. Potrebbe persino creare nuovi account con diritti d’amministratore completi e, di conseguenza, modificare tutte le impostazioni di sicurezza del PC attaccato. Inoltre, sarebbe abbastanza semplice per un hacker a conoscenza di questa vulnerabilità sfruttare il bug quando un utente visita una pagina Web dannosa appositamente progettata. Secondo Google, l’aggiornamento di Chrome 76.0.3809.132 ha risolto tutti e tre bug di sicurezza.
