Il browser Chrome ottiene 11 correzioni di sicurezza con 1 giorno zero: aggiorna ora! – Nuda sicurezza

L’ultimo aggiornamento del browser Chrome di Google è uscito, raggiungendo il numero di versione in quattro parti a 104.0.5112.101 (Mac e Linux), o in 104.0.5112.102 (Finestre).

Secondo Google, la nuova versione include 11 correzioni di sicurezza, una delle quali è annotata con il commento that “un exploit [for this vulnerability] esistono allo stato brado”rendendolo un buco zero-day.

Il nome zero-day ricorda che ci sono zero giorni in cui anche l’utente o l’amministratore di sistema più esperto e proattivo può essere riparato prima dei Cattivi.

Aggiorna i dettagli

I dettagli sugli aggiornamenti sono scarsi, poiché Google, in comune con molti altri fornitori in questi giorni, limita l’accesso ai dettagli dei bug “fino a quando la maggior parte degli utenti non viene aggiornata con la correzione”.

Ma il bollettino di rilascio di Google menziona esplicitamente 10 degli 11 bug, come segue:

  • CVE-2022-2852: Utilizzare dopo FedCM gratuito.
  • CVE-2022-2854: Utilizzare dopo gratuitamente in SwiftShader.
  • CVE-2022-2855: Utilizzare dopo libero in ANGLE.
  • CVE-2022-2857: Usalo dopo gratuitamente su Blink.
  • CVE-2022-2858: Utilizzare dopo il flusso di accesso gratuito.
  • CVE-2022-2853: Overflow del buffer di heap nei download.
  • CVE-2022-2856: Convalida inadeguata dell’input non attendibile in Intents. (Zero-giorno.)
  • CVE-2022-2859: Utilizzare dopo gratuitamente in Chrome OS Shell.
  • CVE-2022-2860: Applicazione inadeguata della politica sui cookie.
  • CVE-2022-2861: Implementazione inappropriata nell’API delle estensioni.

Come puoi vedere, sette di questi bug sono causati da una cattiva gestione della memoria.

UN usa-quindi-libero La vulnerabilità significa che una parte di Chrome restituisce un blocco di memoria che non intende più utilizzare, in modo che possa essere spostato per essere utilizzato altrove nel software…

… solo per continuare a utilizzare quella memoria, quindi è possibile che una parte di Chrome faccia affidamento su dati di cui pensa di potersi fidare, senza rendersi conto che un’altra parte del software potrebbe ancora manomettere quei dati.

Spesso, questi tipi di bug causano il crash completo del software, scombinando i calcoli o accedendo alla memoria in modo irreversibile.

A volte, tuttavia, i bug use-after-free possono essere attivati ​​deliberatamente per indirizzare erroneamente il software in modo che si comporti in modo errato (ad esempio saltando un controllo di sicurezza o fidandosi del blocco sbagliato di dati di input) e provocando comportamenti non autorizzati.

UN overflow del buffer dell’heap significa richiedere un blocco di memoria, ma scrivere più dati di quanti ne possano stare tranquillamente al suo interno.

Trabocca il buffer ufficialmente allocato e sovrascrive i dati nel successivo blocco di memoria, anche se quella memoria potrebbe essere già utilizzata da un’altra parte del programma.

Gli overflow del buffer quindi spesso causano effetti collaterali simili ai bug use-after-free: di solito, il programma vulnerabile va in crash; a volte, tuttavia, il programma può essere indotto a eseguire codice non attendibile senza preavviso.

Il buco del giorno zero

Il bug del giorno zero CVE-2022-2856 è mostrato in modo non più dettagliato di quello che vedi sopra: “Convalida insufficiente dell’input non attendibile in Intents.”

Un Cromo Scopo è un meccanismo per l’attivazione diretta delle app da una pagina Web, in cui i dati sulla pagina Web vengono inseriti in un’app esterna che viene avviata per elaborare tali dati.

Google non ha fornito dettagli su quali app, o che tipo di dati, questo bug potrebbe manipolare maliziosamente…

… ma il rischio sembra abbastanza ovvio se l’exploit noto comporta l’alimentazione silenziosa di un’app locale con il tipo di dati rischiosi che normalmente verrebbero bloccati per motivi di sicurezza.

Cosa fare?

Chrome probabilmente si aggiornerà da solo, ma consigliamo sempre di controllare comunque.

Su Windows e Mac, usa Di più > Aiuto > Informazioni su Google Chrome > Aggiorna Google Chrome.

C’è un bollettino di rilascio separato per Chrome per iOS, che va per versione 104.0.5112.99ma ancora nessun bollettino [2022-08-17T12:00Z] che menziona Chrome per Android.

Su iOS, controlla se le tue app sono aggiornate nell’App Store. (Usa l’app App Store stessa per farlo.)

Puoi guardare eventuali annunci di aggiornamenti imminenti su Android sul blog di Chrome Releases di Google

Anche la variante Chromium open source del browser proprietario Chrome è attualmente in versione 104.0.5112.101.

Note sulla sicurezza di Microsoft Edge, tuttavia, attualmente [2022-08-17T12:00Z] dire:

16 agosto 2022

Microsoft è a conoscenza di un recente exploit che esiste allo stato brado. Stiamo lavorando attivamente per rilasciare una patch di sicurezza come riportato dal team di Chromium.

Puoi tenere d’occhio un aggiornamento Edge sulla pagina ufficiale degli aggiornamenti di sicurezza Edge di Microsoft.


Leave a Reply

Your email address will not be published. Required fields are marked *