Google Chrome: 2 miliardi di utenti a rischio per una vulnerabilità critica

Quando una vulnerabilità viene scoperta e pubblicata, generalmente è seguita da una patch (o un aggiornamento) che punta a risolverlo. Questo problema ovviamente è amplificato quando il software è molto utilizzato ed è ancora più critico quando la falla in questione è critica.

E’ esattamente quello che sta succedendo in questi giorni: è stata scoperta una vulnerabilità in Google Chrome che, manco a dirlo, è uno dei software (se non IL software) più utilizzato a livello globale. Questa vulnerabilità, inoltre, è decisamente molto critica.

Ovviamente l’azienda di Mountain View ha pubblicato rapidamente una patch e pubblicato la CVE-2020-6457, anche se si è guardata bene da indicare i dettagli del bug, nonostante sia Chrome che Chromium siano progetti open-source.

Ci ha pensato Sophos a dettagliare il bug in un articolo sul loro blog, che vi consigliamo di leggere, ma in breve pare che questo bug permetta:

to change the flow of control inside your program, including diverting the CPU to run untrusted code that the attacker just poked into memory from outside, thereby sidestepping any of the browser’s usual security checks or ‘Are You Sure’ dialog.

di cambiare il flusso di controllo nel tuo programma, tra cui sfruttare la CPU per eseguire codice non autorizzato che l’attaccante ha inserito in memoria dall’esterno, magari evitando i vari check di sicurezza del browser o finestre di conferma

Insomma, decisamente parecchio critico come bug e, seppur Chrome dovrebbe aggiornarsi in autonomia (se non è stata disattivata esplicitamente l’opzione), considerando che dall’autore dell’analisi di Sophos, Paul Ducklin, vengono stimati circa 2 miliardi di possibili utenti impattatti (tenendo conto di Windows, macOS e Linux), la possibilità che qualcuno resti scoperto è molto alta!

La versione impattata è, dunque, la 81.0.4044.113 per i 3 suddetti sistemi operativi ed il nostro avviso è, come sempre, aggiornate aggiornate aggiornate!

Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l'HA e l'universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.

Tags: , , ,