Google corregge un'altra vulnerabilità Zero-Day in Chrome scoperta al Pwn2Own

Google ha recentemente implementato una correzione per una vulnerabilità zero-day nel suo browser Chrome, contrassegnata come CVE-2024-3159. Questo problema di sicurezza, scoperto durante la competizione di hacking Pwn2Own tenutasi lo scorso marzo, coinvolgeva un "out of bound" nella memoria del motore JavaScript V8.

La rivelazione e l'exploit di questa falla sono stati il risultato degli sforzi congiunti di Edouard Bochin e Tao Yan di Palo Alto Networks, premiati per il lavoro svolto con 42.500 dollari e 9 punti Master of Pwn nel corso della competizione. I due sono riusciti a dimostrare la vulnerabilità sia su Google Chrome che su Microsoft Edge.

Gli attaccanti potevano sfruttare tale vulnerabilità inducendo le vittime a visitare una pagina HTML appositamente creata, permettendo così l'accesso a dati al di fuori del buffer di memoria e provocando la corruzione della memoria heap. Ciò avrebbe potuto condurre alla divulgazione di informazioni sensibili o al crash del sistema.

I ricercatori di sicurezza di Palo Alto Networks, Bochin e Yan, hanno illustrato con successo la vulnerabilità zero-day, esibendosi il secondo giorno del Pwn2Own di Vancouver e riuscendo a superare le difese del motore JavaScript V8.

In risposta, Google ha rilasciato un aggiornamento per il canale Stable di Chrome: le versioni 123.0.6312.105/.106/.107 per Windows e Mac e la versione 123.0.6312.105 per Linux, che arriveranno gradualmente nei prossimi giorni, ovviamente vi consigliamo di aggiornare il browser non appena l'update è disponibile.

Nel corso dell'ultimo mese, Google è intervenuta su alcune vulnerabilità del browser Chrome, incluso il trattamento di due vulnerabilità zero-day, identificate come CVE-2024-2886 e CVE-2024-2887, anch'esse scoperte durante la competizione di hacking Pwn2Own.