Google ha recentemente lanciato Chrome 98 per tutti correggendo 27 problemi di sicurezza, 19 dei quali segnalati da ricercatori esterni. L’azienda continua a porre grande importanza nel fornire ai propri utenti un browser veloce, efficiente e, soprattutto, sicuro.
Tra i bug risolti, uno, particolarmente pericoloso, consentiva di eseguire codice arbitrario con gli stessi privilegi posseduti da Chrome sul sistema colpito. Dei 19 bug scoperti da ricercatori esterno, otto sono stati valutati come gravi, mentre 10 sono stati considerati di media gravità e uno a basso rischio. Le persone che hanno contribuito alla sicurezza del browser sono state ricompensate con 20.000 dollari ciascuno.
Inoltre, la società, come riportato dai colleghi di Security Week, ha rivelato di aver pagato 12.000 dollari per un heap buffer overflow in ANGLE (CVE-2022-0454), 7.500 dollari per un'implementazione inappropriata nella modalità a schermo intero (CVE-2022-0455), 7.000 dollari per un use-after-free nella ricerca web (CVE-2022-0456), e 5.000 dollari per una confusione di tipo in V8 (CVE-2022-0457).
Sei delle falle di media gravità risolte in Chrome 98 sono bug "use-after-free" (in window dialog, accessibilità, estensioni, pagamenti e cast), tre sono implementazioni inappropriate (in scroll, estensioni e pointer lock) e una è un bypass di policy (in COOP). La vulnerabilità a bassa gravità riguardava invece un accesso alla memoria fuori dai limiti in V8. Google afferma di aver pagato 88.000 dollari in ricompense “bug bounty” ai ricercatori, ma deve ancora annunciare i pagamenti per sei dei problemi risolti.
Ovviamente, consigliamo ai nostri lettori di procedere il prima possibile all’aggiornamento all’ultima release stabile di Chrome, corrispondente alla 98.0.4758.80/81/82 per Windows e 98.0.4758.80 per macOS e Linux.