Chrome, patch di urgenza per il fix di una vulnerabilità 0-day già sfruttata

Chrome, patch di urgenza per il fix di una vulnerabilità 0-day già sfruttata

In una patch di urgenza rilasciata venerdì Google ha corretto un bug 0-day scoperto lo stesso giorno del lancio dell'ultima release, Chrome 94

di pubblicata il , alle 16:04 nel canale Programmi
ChromeGoogle
 

Google ha rilasciato Chrome 94.0.4606.61 per Windows, macOS e Linux, un aggiornamento di emergenza che risolve una vulnerabilità zero-day di criticità alta già sfruttata da attori malevoli. La nuova versione viene installata automaticamente sul browser, e se così non fosse consigliamo di farlo manualmente attraverso le Impostazioni.

"Google è a conoscenza dell'esistenza di un exploit per CVE-2021-37973", ha rivelato l'azienda nell'avviso di sicurezza diramato venerdì. L'aggiornamento è stato distribuito in tutto il mondo sul canale desktop stabile e sarà disponibile per tutti gli utenti in questi giorni. Il browser verifica ad ogni avvio la presenza di nuovi aggiornamenti, e dovrebbe scaricarlo in automatico e installarlo al riavvio successivo, come avviene solitamente.

La nuova falla 0-day scoperta e sfruttata su Chrome

La vulnerabilità è stata segnalata il giorno in cui è stata pubblicata la prima versione stabile di Google Chrome 94, il 21 settembre, da Clément Lecigne di Google TAG, in collaborazione con Sergei Glazunov e Mark Brand di Google Project Zero. Identificato come come CVE-2021-37973, il bug è di tipo User-afer-free ed è presente sul nuovo sistema di navigazione delle pagine web Portals.

L'exploit può consentire agli aggressori di eseguire codice arbitrario sulle versioni di Chrome prive di patch. Google ha specificato che la vulnerabilità è già stata sfruttata, tuttavia non ha rilasciato ulteriori dettagli in merito: "L'accesso ai dettagli dei bug e ai collegamenti verrà limitato fino a quando la maggior parte degli utenti non avranno aggiornato con il fix, o se il bug persiste in una libreria di terze parti da cui dipendono altri progetti", ha precisato.

Sono undici le vulnerabilità 0-day che Google ha corretto su Chrome quest'anno, fra cui tre solo a settembre.

2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Lieutenant25 Settembre 2021, 18:59 #1

User-afer-free?


"use-after-free"
yeppala26 Settembre 2021, 18:17 #2
Falla di sicurezza corretta anche in Edge 94.0.992.31

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^