Google Chrome colpito da un altro hack Zero-Day del 2022

29/03 Aggiornamento di seguito. Questo post è stato originariamente pubblicato il 26 marzo

Google ha emesso un avviso di aggiornamento urgente ai suoi miliardi di utenti Chrome in tutto il mondo. Ecco tutto quello che devi sapere per stare al sicuro.

PIÙ DI FORBESGoogle conferma l’aumento degli attacchi gravi su Chrome – e perché

Google ha emesso l’avviso sul suo blog ufficiale di Chrome, rivelando che Chrome su Windows, macOS e Linux è vulnerabile a un nuovo hack “zero-day” (CVE-2022-1096). Lo zero-day è la forma di attacco più pericolosa perché significa che la vulnerabilità è nota agli hacker prima che Google possa emettere una correzione. Come ammette la società, “Google è consapevole dell’esistenza di un exploit per CVE-2022-1096 in natura”. Ciò significa che ogni utente di Chrome è vulnerabile.

Aggiornamento 28/03: Microsoft ha ora confermato che lo stesso hack zero-day colpisce il suo browser Edge. L’azienda ha pubblicato un nuovo aggiornamento su di esso Centro di risposta alla sicurezza confermando che l’exploit riguarda tutti i browser basati su Chromium: “La vulnerabilità assegnata a questo CVE è nel Chromium Open Source Software (OSS) utilizzato da Microsoft Edge (basato su Chromium).” Ciò significa che altri browser basati su Chromium, inclusi Amazon Silk, Brave, Opera, Samsung Internet (in bundle con i suoi smartphone Galaxy), Vivaldi e Yandex saranno probabilmente tutti interessati.

Microsoft conferma inoltre di aver rilasciato una correzione per Edge basata sull’aggiornamento di Chromium che Google ha già implementato per Chrome. Per ottenerlo, segui questi passaggi:

  1. Nel browser Microsoft Edge, fai clic sui 3 punti (…) all’estrema destra della finestra
  2. Fare clic su “Aiuto e feedback”
  3. Fare clic su “Informazioni su Microsoft Edge”

Microsoft afferma che la versione patchata di Edge è 99.0.1150.553, quindi se il tuo browser mostra un numero inferiore, sei ancora vulnerabile.

Google attualmente limita le informazioni sull’exploit per far guadagnare tempo agli utenti di Chrome per l’aggiornamento. Al momento della pubblicazione, tutto ciò che l’azienda ha rivelato era il livello di minaccia (“Alto”), il luogo dell’attacco e chi lo ha scoperto (questa è una soffiata anonima):

  • Alto – CVE-2022-1096: Digitare Confusione in V8. Segnalato da anonimo il 23-03-2022

Aggiornamento 29/03: la preoccupazione per questa vulnerabilità di sicurezza continua a svilupparsi. Bleeping Computer ora riferisce che la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha ordinato tutte le agenzie federali per correggere immediatamente l’exploit CVE-2022-1096. CISA ha anche aggiunto zero-day al suo “Catalogo delle vulnerabilità sfruttate conosciute” e utilizza l’hashtag #CriticalPatch. Oltre ai suoi avvertimenti alle agenzie FCEB, CISA sottolinea anche che tutti gli utenti di Chrome del settore pubblico e privato dovrebbero aggiornare immediatamente per ridurre l’esposizione agli attacchi informatici in corso.

Anche altre società di browser basate su Chromium stanno seguendo l’esempio di Google e rilasciano aggiornamenti di emergenza. L’ultimo di Brave note di rilascio confermare che una versione patchata di Chromium è disponibile per il suo browser e mentre il musica lirica e Blog Vivaldi non sono stati aggiornati per elencare le loro ultime versioni, capisco che entrambi i browser stanno eseguendo la nuova versione sicura di Chromium.

La verità è che il software è stato violato. È un gioco costante al gatto e al topo tra sviluppatori e hacker e il merito risiede principalmente nel lavorare con specialisti della sicurezza per scoprire e correggere tempestivamente i difetti e ridurre il tempo di qualsiasi exploit zero-day disponibile prima che una patch sia pronta. Con oltre 3 miliardi di utenti, Chrome/Chromium è oggi uno dei software più mirati al mondo e Google riconosce il numero di gli attacchi zero-day sono in aumentoDetto questo, esistono protocolli di sicurezza mai stato meglio (con il alcune notevoli eccezioni), anche se si affidano agli utenti per mantenere aggiornato il loro software. Non essere l’anello debole.

V8 è la parte di Chrome responsabile dell’elaborazione di JavaScript, il motore al centro di Chrome, e l’hacking induce il browser a eseguire un tipo diverso di codice (in questo caso, dannoso). Gli attacchi V8 sono stati relativamente rari negli ultimi mesi, ma possono essere uno dei più pericolosi, se un hacker riesce a creare un exploit di successo.

In risposta, Google ha annunciato un aggiornamento di emergenza per Chrome (99.0.4844.84) ​​”per Windows, Mac e Linux che verrà lanciato nei prossimi giorni/settimane”. Per verificare la versione del tuo browser, vai a Impostazioni > Guida > Informazioni su Google Chrome — questo costringerà anche Chrome a verificare la presenza di aggiornamenti. Nota: non sei protetto finché non riavvii il browser.

Questo è il secondo hack zero-day di Chrome nel 2022, un numero relativamente basso nonostante Google abbia avvertito che gli hack zero-day sono in aumento. Non apportare modifiche, controlla ora il tuo browser.

___

Segui Gordon Facebook

Altro su Forbes

Gli aggiornamenti di New Edge, Firefox, Chrome “100” interromperanno alcuni siti Web

Google conferma il nuovo hack “critico” di Chrome, problemi di risoluzione immediata

Leave a Reply

Your email address will not be published. Required fields are marked *