Usate il browser Chrome? Fareste meglio ad applicare le patch e controllare le estensioni installate!

1

È stato recentemente rilasciato un aggiornamento di emergenza relativo al browser di Google, Chrome, che va a risolvere la CVE-2022-3075, una vulnerabilità di tipo zero-day, ossia che viene scoperta e pubblicata senza che vi sia una patch risolutiva a disposizione.

Cosa stupisce in merito a questa anomalia? Che sia la sesta del 2022.

Anche se questo genere di problematiche vengono considerate “all’ordine del giorno” per software come Chrome, che hanno un ciclo di release rapidissimo, a leggere l’elenco delle anomalie vengono i brividi, principalmente perché trattandosi di problematiche zero-day, considerata l’attenzione generale che c’è negli update dei software presso l’utente medio (a scanso di equivoci: scarsa), per i malintenzionati internet deve apparire come un bel parco giochi.

Come riporta ARStechnica:

Google is aware of reports that an exploit for CVE-2022-3075 exists in the wild

Google è al corrente dei report che segnalano come exploit per la CVE-2022-3075 siano disponibili “là fuori”

Come se la cosa in qualche modo potesse tranquillizzare. Sempre ARStechnica indica come anche altri browser basati sul motore Chromium (vedi Microsoft Edge) siano stati aggiornati per porre rimedio allo stesso problema.

Viene riportata anche la lista delle precedenti CVE che hanno riguardato il browser così, tanto per gradire:

  • CVE-2022-0609, a Use-after-Free patched in February
  • CVE-2022-1096, a “Type Confusion in V8” vulnerability that was patched in March
  • CVE-2022-1364, a flaw patched in April in the V8 JavaScript engine.
  • CVE-2022-2294, a flaw in the Web Real-Time Communications, which was patched in July
  • CVE-2022-2856, an insufficient input validation flaw, which was patched in August

Finisce qui? Basta aggiornare e tornare a dormire sonni tranquilli? Mica tanto, poiché non è solo Chrome stesso ad essere costantemente minacciato, ma lo sono anche le sue estensioni. Per farvi un’idea, leggete l’articolo “Chrome extensions with 1.4 million installs steal browsing data” dove viene raccontato di cinque estensioni, molto utilizzate, che di fatto monitorano le attività degli utenti (in termini di visite ai siti di e-commerce) e modificano i cookie di provenienza per far sì che questi siano quelli dei produttori di estensioni (e chiaramente per guadagnare).

Quali sono queste estensioni? Eccole, sempre per gradire, con riportato il numero di download effettuati ad oggi:

  • Netflix Party – 800,000 downloads
  • Netflix Party 2 – 300,000 downloads
  • Full Page Screenshot Capture – Screenshotting – 200,000 downloads
  • FlipShope – Price Tracker Extension – 80,000 downloads
  • AutoBuy Flash Sales – 20,000 downloads

Mica male come trovata vero? Del resto le extension il loro servizio lo offrono, peccato che a compendio includano anche una raccolta fondi, per così dire, destinata ai loro sviluppatori che viene alimentata da chi se non lui, la vittima prescelta, l’agnello sacrificale: l’utente.

Occhi aperti!

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.