Google ha reagito prontamente all'attuale sfruttamento di una sesta vulnerabilità Zero-Day di Chrome (per chi non lo sapesse si tratta di una qualunque vulnerabilità di un software non nota ai suoi sviluppatori o da essi conosciuta ma non gestita propriamente), durante il 2023, rilasciando un aggiornamento di sicurezza d'emergenza.
Il gigante tecnologico ha ufficialmente confermato l'esistenza dell'exploit per la falla di sicurezza, identificata come CVE-2023-6345, attraverso un comunicato diffuso recentemente.
Il canale Desktop Stable ha già ricevuto l'aggiornamento risolutivo, distribuendo le nuove versioni per gli utenti Windows (119.0.6045.199/.200), Mac e Linux (119.0.6045.199) di tutto il mondo.
Sebbene l'aggiornamento potrebbe richiedere tempo per raggiungere automaticamente tutti gli utenti, per via del classico Roll-Out graduale, pare che reinstallando il browser si ottenga la versione più recente , e corretta, del browser.
Coloro che preferiscono evitare un aggiornamento manuale per qualsiasi ragione, possono sfruttare la funzione del browser web per verificare automaticamente nuove versioni e installarle al successivo avvio.
Il bug, denominato Chrome 119.0.6045.199, è stato identificato come potenzialmente sfruttabile in attacchi di spyware.
Questa vulnerabilità Zero-Day trae origine da una debolezza nell'overflow della libreria grafica Skia, un motore utilizzato da prodotti come ChromeOS, Android e Flutter.
La scoperta è stata segnalata lo scorso venerdì 24 novembre da Benoît Sevens e Clément Lecigne, esperti di sicurezza appartenenti al Google's Threat Analysis Group (TAG).
Il TAG di Google è noto per individuare vulnerabilità Zero-Day, spesso sfruttate da gruppi di hacker governativi in attacchi di spyware diretti a personalità influenti, come giornalisti e politici di opposizione.
Google ha comunicato che i dettagli della Zero-Day rimarranno limitati fino a quando la maggior parte degli utenti non avrà eseguito l'aggiornamento. Tale limitazione sarà estesa se la vulnerabilità andasse a coinvolgere software di terze parti non ancora aggiornati.
Questo approccio mira a ridurre il rischio che i criminali informatici possano sviluppare dei propri exploit sfruttando il CVE-2023-6345, utilizzando le informazioni tecniche appena rese note sulla vulnerabilità.
Nel settembre scorso, Google ha risolto altri due Zero-Day (CVE-2023-5217 e CVE-2023-4863), il quarto e il quinto dall'inizio del 2023.