Google ha annunciato il 7 marzo che alcuni hacker sono riusciti a individuare un difetto in Chrome che può essere sfruttato insieme a una “seria vulnerabilità” di Microsoft Windows. Quest’ultimo zero-day, che influenza il driver del kernel win32k.sys di Windows, può essere “utilizzato per elevare i privilegi o combinato con un’altra vulnerabilità del browser per eludere le sandbox di sicurezza”.
Google sostiene che la vulnerabilità di Windows sia sfruttabile solo nei sistemi Windows 7 a 32 bit e consiglia agli utenti di prendere in considerazione il passaggio a Windows 10, in cui i recenti aggiornamenti di sicurezza risolvono la problematica. Google ha segnalato il bug a Microsoft, che ora sta lavorando su una patch per i sistemi Windows 7.
La compagnia di Mountain View ha rivelato inoltre che l’aggiornamento di Google Chrome, rilasciato la scorsa settimana, ha risolto un problema di sicurezza che gli aggressori stavano già sfruttando in natura.
“Google è a conoscenza dei rapporti secondo cui esiste un exploit per CVE-2019-5786 in circolazione”, ha reso noto l’azienda in un comunicato di martedì, dopo aver inizialmente pubblicato l’avviso venerdì scorso. Sempre martedì, il tweet di Justin Schuh, ingegnere della sicurezza di Chrome, ha sottolineato l’urgenza del problema: “seriamente, aggiornate le vostre installazioni di Chrome … non perdete tempo, fatelo ora”.
La vulnerabilità che colpisce il browser in Windows, Mac e Linux è stata segnalata da Clement Lecigne del Threat Analysis Group di Google il 27 febbraio.
Il difetto di sicurezza consiste in un bug di corruzione della memoria ” use-after-free ” nell’API FileReader del browser , un componente del browser destinato a consentire alle app Web di leggere i file memorizzati localmente. Detto questo, lo sfruttamento della vulnerabilità può comportare un danno maggiore di quello che si potrebbe pensare leggendo il nome dell’API. Come rivelato da una nota del Center for Internet Security (CIS), gli aggressori potrebbero riuscire a eseguire da remoto del codice arbitrario sul sistema di destinazione:
“A seconda dei privilegi associati a questa applicazione, un utente malintenzionato potrebbe quindi installare programmi; visualizzare, modificare o eliminare dati; o creare nuovi account con tutti i diritti dell’utente “, come si legge nella nota. Lo zero-day può essere eseguito quando l’utente viene dirottato verso una pagina Web appositamente predisposta per innescare l’attività malevola.
Alla luce di tutto ciò, ESET Italia consiglia a tutti gli utenti di aggiornare Chrome alla versione 72.0.3626.121 se non lo avessero già fatto. Probabilmente il modo più semplice per verificare se un aggiornamento è in sospeso è digitare chrome: // settings / help nella barra degli indirizzi del browser e, se il browser fosse davvero obsoleto, seguire le istruzioni riportate.
Lascia un commento