Google ha rilasciato lo scorso 1 marzo un aggiornamento per il suo browser Chrome, portandolo alla versione 72.0.3626.121. Tra le novità l'azienda ha fatto sapere di aver inserito anche il fix ad una falla zero-day, denominata CVE-2019-5786.
La falla di sicurezza è stata descritta come un errore nella gestione della memoria da parte di FileReader, la web API presente nella maggior parte dei browser che permette alle web app di accedere ai file presenti sul vostro computer. Secondo quanto riportato sulla pagina di release di Chrome, sembra che al rilascio della patch fossero in atto alcuni attacchi in grado di sfruttare il bug.
Google discovered a Chrome RCE #0day in the wild (CVE-2019-5786). Reportedly, a full chain with a sandbox escape: https://t.co/Nxfrvr5wIh
— Chaouki Bekrar (@cBekrar) March 6, 2019
In 2019, I expect epic 0days to be found in the wild: Android, iOS, Windows, Office, virtualization, and more. Stay safe and enjoy the show.
La vulnerabilità in questione è di tipo UAF (Use After Free) e consiste in un tipo di errore della memoria che si presenta quando un'applicazione, dopo essere stata cancellata dalla parte di memoria inizialmente allocata da Chrome, prova ad accedervi. Una gestione scorretta di questi accessi alla memoria può portare all'esecuzione di codice maligno, e secondo Chaouki Bekrar - CEO di Zerodium - la vulnerabilità CVE-2019-5786 permetteva a questo codice di eludere il sandbox di sicurezza di Chrome e di eseguire comandi nel sistema operativo.
Il mese scorso, ad una conferenza sulla sicurezza tenutasi in Israele, l'ingegnere di Microsoft Matt Miller ha affermato che il 70% di tutti i bug di sicurezza patchati da Microsoft ogni anno derivano da errori relativi alla memoria, proprio come questo zero-day presente in Chrome. Il problema alla base di tutto sarebbe l'uso da parte degli sviluppatori dei linguaggi C e C++, definiti dall'ingegnere "memory unsafe". Il codice sorgente di Chromium, la base open source di Chrome, è scritto proprio sfruttando questi due linguaggi.
Google consiglia di aggiornare alla versione 72.0.3626.121 il prima possibile tramite il tool integrato in Chrome, così da evitare eventuali spiacevoli problemi.
Cercate un nuovo portatile tuttofare? L'Acer Travelmate X3410 è un prodotto valido e dall'ottimo rapporto qualità prezzo.
