Google corregge sette vulnerabilità su Chrome, fra cui le 2 0-day scoperte al Pwn2Own 2024

Google corregge sette vulnerabilità su Chrome, fra cui le 2 0-day scoperte al Pwn2Own 2024

Durante la recente edizione del Pwn2Own 2024 di Vancouver sono state scoperte diverse vulnerabilità zero-day in popolari browser web, fra cui Chrome. In risposta, Google ha già rilasciato un update per risolvere i problemi critici rivelati.

di pubblicata il , alle 15:31 nel canale Programmi
GoogleChromeFirefoxMozillaEdgeMicrosoft
 

Il Pwn2Own 2024, un'importante competizione di hacking tenutasi a Vancouver, ha portato alla ribalta diverse vulnerabilità su molteplici servizi. Tra i principali bersagli figuravano i browser Chrome, Edge e Firefox, con i ricercatori di sicurezza partecipanti che sono riusciti a sfruttare con successo diverse vulnerabilità, dimostrando la loro capacità di eseguire codice remoto con i browser target per compromettere eventualmente i sistemi degli utenti.

Una delle falle 0-day più critiche è stata identificata in WebAssembly, uno standard aperto utilizzato da Chrome ed Edge, ed è riconosciuta come CVE-2024-2887. Manfred Paul ha mostrato questa vulnerabilità "type confusion" durante il primo giorno della competizione, ottenendo la possibilità di eseguire codice da remoto su entrambi i browser.

Chrome e Firefox, risolte le vulnerabilità scoperte al Pwn2Own di Vancouver

Un'altra grave minaccia è stata rappresentata da una falla nell'API WebCodecs, utilizzata per la codifica e decodifica di contenuti audio e video. Seunghyun Lee del KAIST Hacking Lab ha sfruttato questa falla di tipo use-after-free (CVE-2024-2886) per eseguire letture e scritture arbitrarie sui sistemi interessati. La stessa falla può essere sfruttata, come ha dimostrato Lee, anche per eseguire codice da remoto utilizzando un single exploit. Anche in questo caso la vulnerabilità riguarda sia Google Chrome sia Edge di Microsoft.

Nell'aggiornamento di questa settimana, rilasciato con la versione 123.0.6312.86/.87 per Windows e macOS e 123.0.6312.86 per Linux, Google ha corretto complessivamente sette vulnerabilità sul browser Chrome, fra cui le due 0-day menzionate. Neanche Firefox, fra i browser citati, è rimasto immune durante il Pwn2Own di Vancouver: lo stesso Manfred Paul ha infatti sfruttato con successo due zero-day sul browser di Mozilla durante la competizione. Se da una parte Google ha reagito molto velocemente impiegando cinque giorni per correggere le falle scoperte su Chrome, dall'altra Mozilla ha agito ancor più rapidamente, risolvendo i problemi di Firefox in circa un giorno.

Il Pwn2Own 2024 ha visto i ricercatori di sicurezza guadagnare complessivamente 1.132.500 dollari per aver dimostrato 29 exploit zero-day ed exploit chain. Manfred Paul si è distinto come vincitore dell'anno, portando a casa 202.500 dollari in premi.

4 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
redrose28 Marzo 2024, 16:50 #1
Glad to use Firefox.
Essere il browser più usato ovviamente attira le attenzioni dei malintezionati (o dei ricercatori). Così come lo era al tempo dei macro virus e i classici virus per Windows.
Nui_Mg28 Marzo 2024, 17:06 #2
Originariamente inviato da: redrose
Glad to use Firefox.

Sì, il quale però, se vogliamo dirla tutta, è stato bucato pure lui e tradizionalmente ben di più di chrome nelle varie edizioni del Pwn2Own.
frankie28 Marzo 2024, 18:02 #3
Firefox user from firebird 0.76
popye29 Marzo 2024, 09:42 #4
Beh questo continuo trovare "vulnerabilità" in certi software mi ricorda metaforicamente la tela di Penelope...di giorno qualcuno corregge i bugs e di notte qualcun'altro ce li rimette

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^