Google risolve due falle zero-day di Chrome attivamente sfruttate (ma non si sa da chi e per cosa)

Google risolve due falle zero-day di Chrome attivamente sfruttate (ma non si sa da chi e per cosa)

Project Zero di Google ha risolto due vulnerabilità di Chrome attivamente sfruttate, senza però precisare da chi e con quale scopo

di pubblicata il , alle 13:41 nel canale Sicurezza
GoogleChrome
 

Google ha comunicato di aver corretto due vulnerabilità zero-day del browser web Chrome: è la terza volta, nel giro di due settimane, che l'azienda di Mountain View corregge un problema di sicurezza di Chrome attivamente sfruttato. Ben Hawkes, responsabile della divisione di ricerca su vulnerabilità ed exploit di Project Zero (il team di Google che si occupa di ricerca nel campo della sicurezza informatica), ha diffuso le informazioni via Twitter nei giorni scorsi.

Due vulnerabilità attivamente sfruttate: Google rilascia le patch correttive

CVE-2020-16009, questo il codice identificativo della prima delle due vulnerabilità, è un bug di esecuzione di codice in modalità remota in V8, il motore JavaScript open-source utilizzato da Chrome. La seconda falla, identificata dal codice CVE-2020-1610, è invece un overflow del buffer in Chrome per Android. Hawkes ha spiegato che questo secondo bug permette ad un attaccante di poter svicolare dall'ambiente sandbox di Android, il che lascia pensare che questa vulnerabilità potrebbe essere stata utilizzata in combinazione con altre falle.

Hawkes non ha però divulgato ulteriori dettagli e per questo non è dato sapere quali siano le versioni di Chrome prese di mira, chi potessero essere le vittime e da quanto tempo erano in corso gli attacchi. Non è inoltre chiaro se alle spalle dello sfruttamento di tutti e tre le vulnerabilità (le due corrette in questi giorni e quella corretta due settimane fa, la CVE-2020-15999 relativa a Freetype, che Chrome usa per il rendering dei caratteri) vi sia stato lo stesso gruppo di attacco.

Dal momento che le versioni desktop di Chrome sono configurate con aggiornamento automatico abilitato di default, la maggior parte degli utenti avranno già applicate le patch correttive. Per quanto riguarda invece Chrome per Android, questo viene aggiornato tramite Google Play: la patch è integrata nell'aggiornamento 86.0.4240.185 che Google indica come disponibile "nelle prossime settimane".

1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
pabloski04 Novembre 2020, 17:08 #1
Se vince Trump, si saprà immediatamente da chi sono usate. Vedrete. Sono già pronte le fonti anonime dei servizi segreti, con dossier invisibili su onnipresenti acherrussi

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^