È tempo di aggiornare Chrome e ancora una volta, per il terzo mese consecutivo, Google ha corretto due bug “zero-day” precedentemente sconosciuti nel browser desktop più popolare al mondo.
Google ha rivelato di aver corretto i due difetti zero-day ad alta gravità nelle note di rilascio per il rilascio stabile di Chrome versione 95.0.4638.69 per Windows, Mac e Linux.
Qualsiasi numero di versione superiore a quello avrà le correzioni.
È una buona idea controllare la pagina di supporto di Google per gli aggiornamenti di Chrome, che spiega come impostare Chrome per l’aggiornamento automatico quando le patch diventano disponibili.
Altrimenti, Chrome ha un pulsante “Aggiorna” che è colorato in rosso se un aggiornamento ha almeno una settimana, indicando che dovrebbe essere installato.
I due difetti zero-day, che ora vengono sfruttati dagli aggressori, vengono tracciati con gli identificatori CVE-2021-38000 e CVE-2021-38003.
Entrambi sono stati trovati dal Threat Analysis Group (TAG) di Google, che tiene traccia delle attività di exploit sponsorizzate dallo stato e dei cyber-criminali.
Il secondo dei due zero-day è stato riportato anche da Samuel Groß di Google Project Zero il 26 ottobre, indicando la velocità con cui Google sta rispondendo alle scoperte zero-day.
CVE-2021-38000 è un difetto di progettazione dovuto a “convalida insufficiente di input non attendibili negli intenti”. E segnalato da TAG il 15 settembre.
CVE-2021-38003 – un difetto di corruzione della memoria, secondo il tracker zero-day di Google Project Zero – è descritto vagamente come “implementazione inappropriata in V8”. V8 è il potente motore JavaScript di Chrome che Groß spera di sostenere con ulteriori protezioni sandbox. Come ha notato nella sua proposta, i bug V8 consentono agli aggressori di creare “exploit insolitamente potenti” che sono difficili da mitigare con le tecnologie di sicurezza esistenti.
“Google è consapevole che esistono exploit per CVE-2021-38000 e CVE-2021-38003”, ha affermato Google nelle note di rilascio.
L’aggiornamento arriverà nei prossimi giorni o settimane, secondo Google.
Ci sono otto correzioni di sicurezza, per lo più legate alla memoria, in questo aggiornamento di Chrome.
Google non ha attribuito gli exploit a nessun gruppo di hacker.
Il fatto che Google abbia corretto un numero insolitamente elevato di difetti zero-day in Chrome nel 2021 potrebbe essere interpretato in diversi modi.
Più vengono scoperti e più velocemente vengono risolti tramite gli aggiornamenti è un bene per gli utenti finali.
Una volta patchato, l’exploit è meno prezioso.
Ciò potrebbe significare che i difensori stanno migliorando nell’individuare gli zero-day.
D’altra parte, Google Project Zero ha visto un aumento degli zero-day che ha colpito le principali piattaforme come Chrome, Windows e iOS nell’ultimo anno.
La ragione di ciò potrebbe essere la commercializzazione del mercato degli exploit zero-day, che fornisce una scorciatoia per l’acquisizione di exploit che altrimenti richiedono competenze per svilupparsi.
Netflix News Serie TV Film Amine
Apple Android Tecnologia Prime Video Offerte Disney+
Seguici su Facebook Twitter Pinterest
Seguici su Telegram: Netflix, Offerte Amazon Prime, Prime Video
