Products and Services PRODUCTS & SERVICES

Google rilascia patch “in-the-wild” Chrome zero-day – aggiorna ora!

L’ultimo aggiornamento del browser Chrome di Google corregge un numero variabile di bug, a seconda che tu sia su Android, Windows o Mac e a seconda che tu stia eseguendo il “canale Stable” o il “canale Extended Stable“.

Non preoccuparti se trovi un insieme confuso di post del blog di Google…

… è successo anche a noi, quindi abbiamo cercato di creare un riepilogo all-in-one qui di seguito.

Il canale Stable è l’ultima versione, incluse tutte le nuove funzionalità del browser, attualmente numerata come Chrome 103.

Il canale Extended Stable si identifica come Chrome 102 e non ha le ultime funzionalità ma contiene tutte le ultime correzioni di sicurezza.

Tre bug numerati CVE sono elencati nei tre bollettini sopra elencati:

  • CVE-2022-2294: buffer overflow in WebRTC. Un bug zero-day, già noto alla comunità della criminalità informatica e attivamente sfruttato in the wild. Questo bug compare in tutte le versioni sopra elencate: Android, Windows e Mac, sia in versione “stable” che “extended stable”. WebRTC è l’abbreviazione di ” web real-time communication”, utilizzata da molti servizi di condivisione audio e video che utilizzi quotidianamente, come quelli per riunioni remote, webinar e telefonate online.
  • CVE-2022-2295: Type confusion nella V8. Il termine V8 si riferisce al motore JavaScript di Google, utilizzato da qualsiasi sito Web che includa codice JavaScript, che, nel 2022, significa quasi tutti i siti Web disponibili. Questo bug appare in Android, Windows e Mac, ma apparentemente solo nella versione Chrome 103 (“canale stable”).
  • CVE-2022-2296: use-after-free nella shell di Chrome OS. Questo è elencato come applicabile al “canale stable” su Windows e Mac, sebbene la shell di Chrome OS sia, come suggerisce il nome, parte di Chrome OS, che non è né Windows né Mac.

Inoltre, Google ha corretto una serie di bug CVE non numerati che sono etichettati collettivamente con l’ID bug 1341569.

Queste patch forniscono una serie di correzioni proattive basate su “audit interni, fuzzing e altre attività”, il che molto probabilmente significa che non erano note in precedenza a nessun altro e quindi non sono mai state (e non possono più essere) trasformate in bug zero- day, il che è una buona notizia.

Gli utenti Linux non ne hanno ancora fatto menzione nei bollettini di questo mese, ma non è chiaro se ciò sia dovuto al fatto che nessuno di questi bug si applica alla base del loro codice, perché le patch non sono ancora pronte per Linux, o perché i bug non sono considerati abbastanza importanti da ottenere correzioni specifiche per Linux.

Spiegazione dei tipi di bug

Eccovi un glossario molto veloce delle categorie di bug citati qui sopra:

  • Buffer Overflow. Ciò significa che i dati forniti da un utente malintenzionato vengono scaricati in un blocco di memoria che non è abbastanza grande per la quantità inviata. Se i dati extra finiscono per “riversarsi” nello spazio di memoria già utilizzato da altre parti del software, ciò potrebbe influenzare il comportamento del browser.
  • Type confusion. Immagina di fornire dati come il “prezzo di un prodotto” che il browser dovrebbe trattare come un semplice numero. Ora immagina di poter in seguito indurre il browser a utilizzare il numero che hai appena fornito come se fosse invece un indirizzo di memoria o una stringa di testo. Un numero che ha superato il controllo per assicurarsi che fosse un prezzo legale probabilmente non è un indirizzo di memoria o una stringa di testo validi e quindi non sarebbe stato accettato senza lo stratagemma di intrufolarlo sotto le spoglie di un tipo di dati diverso. Inserendo dati “validi quando controllati ma non validi quando utilizzati”, un utente malintenzionato potrebbe sovvertire deliberatamente il comportamento del browser.
  • Use-after-free. Questo significa che una parte del browser continua a utilizzare in modo errato un blocco di memoria dopo che è stato restituito al sistema per la riallocazione altrove. Di conseguenza, i dati che sono già stati controllati per la sicurezza potrebbero finire subdolamente modificati appena prima di essere utilizzati, influenzando così a tradimento il comportamento del browser.

Cosa fare?

Probabilmente Chrome si aggiornerà da solo, ma ti consigliamo sempre di controllare comunque.

Su Windows e Mac, usa Altro > Aiuto > Informazioni su Google Chrome > Aggiorna Google Chrome.

Su Android, verifica che le tue app del Play Store siano aggiornate.

Dopo l’aggiornamento, cerca la versione 102.0.5005.148 se sei nella versione “extended stable”; 103.0.5060.114 se sei sul track “stable”; e 103.0.5060.71 su Android.

Su Linux, non siamo sicuri del numero di versione a cui prestare attenzione, ma potresti comunque aggiornare, per assicurarti di avere l’ultima versione disponibile in questo momento.