Trovata nuova vulnerabilità Zero-Day in Google Chrome
Lo scorso mese, il ricercatore Clement Lecigne, addetto a scovare le nuove minacce a Google, ha scoperto e denunciato una vulnerabilità particolarmente pericolosa che potrebbe, a quanto pare, permettere ai malintenzionati di portare a termine dei cyber-attacchi da remoto eseguendo, in modo interamente arbitrario, il codice, e di conseguenza prendendo il completo controllo del sistema.
La vulnerabilità scoperta in Google Chrome: cos’è e come funziona
La vulnerabilità in questione, a cui è stato dato il nome CVE-2019-5786, prende di mira il famoso browser su tutti i principali sistemi operativi, inclusi Microsoft Windows, Apple macOS, e Linux. A quanto pare, si tratterebbe di una vulnerabilità di tipo use-after-free presente nella componente FileReader di Chrome, ma c’è di più: lo stesso Google ha avvertito che la vulnerabilità zero-day RCE sarebbe già in attivo utilizzo da parte di alcuni malintenzionati che puntano dritti ai singoli utenti.
“L’accesso ai dettagli e ai vari link del bug verrà ristretto finché la maggioranza degli utenti avrà aggiornato il browser con le correzioni dovute,” fa notare il team di sicurezza di Chrome, “adotteremo altre restrizioni alla libreria di terze parti da cui dipendono progetti simili che però non sono ancora stati sistemati.”
Ad esempio, FileReader è un API standard fatto apposta per permettere alle applicazioni web di leggere i contenuti dei file (o dati grezzi) immagazzinati sul computer dell’utente, usando ‘File’ o ‘Blob’ per specificare i file o i dati da leggere.
La vulnerabilità di tipo use-after-free appartiene a una classe di bug corruttivi che permettono ai malintenzionati di modificare i dati in memoria, oltre che di ottenere accesso al sistema, se non addirittura al software, in maniera progressiva.
La vulnerabilità di tipo use-after-free presente nella componente FileReader di Google Chrome, per l’appunto, concede ai cyber-criminali un accesso privilegiato a Chrome, permettendo loro di superare i sistemi di sicurezza e raggiungere direttamente il sistema.
Tutto ciò che un hacker deve fare, per sfruttare questa particolare vulnerabilità di Google Chrome, è ingannare le vittime inconsapevoli, spingendole ad aprire o reindirizzandole verso un sito web che non richiede alcun tipo di interazione.
Vulnerabilità Chrome: Google ha già il rimedio
Si tratta dunque di una vulnerabilità insidiosa, che potenzialmente può colpire qualunque sistema operativo. Tuttavia, Google non sta a guardare, perciò ha già rilasciato la patch da offrire ai suoi utenti, con l’aggiornamento Chrome 72.0.3626.121 per Windows, Mac, e Linux: dovrebbe arrivare nei prossimi giorni, ma alcuni l’hanno già avuta.
Andrea Mori
Swascan Marketing Manager
