Google Chrome, aggiornamento di emergenza per una falla già sfruttata

Google Chrome, aggiornamento di emergenza per una falla già sfruttata

Aggiornate Google Chrome subito su Windows, Mac e Linux: la casa di Mountain View ha pubblicato un aggiornamento che serve per chiudere una falla di sicurezza già sfruttata attivamente dai malintenzionati.

di pubblicata il , alle 12:01 nel canale Software
GoogleChrome
 

Google ha rilasciato il browser Chrome in versione 96.0.4664.110 per Windows, Mac e Linux. La nuova versione non introduce novità nelle funzionalità, ma va a risolvere una vulnerabilità "zero day", quindi già sfruttata dai malintenzionati, e perciò molto severa. "Google è a conoscenza di report sul fatto che un exploit per CVE-2021-4102 è in circolazione", si legge in un bollettino di sicurezza diffuso dell'azienda. 

Il browser, come noto, si aggiorna periodicamente in modo automatico, ma in questi casi è meglio prendere la situazione in mano forzando subito l'update, cosa peraltro molto facile andando nel menu di Chrome (i tre punti in alto a destra) -> Guida -> Informazioni su Google Chrome. Il browser controlla la presenza di novità e si aggiorna dopo il riavvio.

La falla "zero day" risolta, tracciata come CVE-2021-4102, è stata segnalata a Google da un ricercatore di sicurezza anonimo e si origina da una vulnerabilità Use-After-Free (UAF) (uso scorretto della memoria) nel motore JavaScript V8.

Exploit come questi sono comuni e permettono a malintenzionati di eseguire codice arbitrario, permettendo così la potenziale sottrazione di dati sensibili. Il bug risolto è il diciassettesimo "zero day" dell'anno per Google Chrome, cosa che ci insegna come sia spesso preferibile non solo adottare immediatamente gli aggiornamenti proposti dai software, ma anche essere un po' proattivi, verificando in prima persona l'esistenza di update per i programmi di cui facciamo ampio uso.

Idee regalo, perché perdere tempo e rischiare di sbagliare?
REGALA UN BUONO AMAZON
!

4 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
pabloski14 Dicembre 2021, 12:30 #1
La cosa simpatica è che ci sono alcuni ingegneri Google dietro il progetto di introdurre Rust in Linux.

Ma mi sa che Rust andrebbe introdotto, e di corsa, in Chrome. Anzi, per il bene dell'umanità, Chromium andrebbe riscritto completamente in Rust
Pro5.3914 Dicembre 2021, 16:15 #2
ovviamente nessun sistema è impenetrabile.
LL114 Dicembre 2021, 18:13 #3
mmmh, vulnerabilità (tanto per cambiare di tipo) UAF nel motore JavaScript V8 , vuoi vedere che [I][COLOR="Red"]forse[/COLOR][/I] la modalità-idiota riesce ad averne ragione?? (si, ok: si parla di EDGE ma, visto che ne condivide l'engine )...


Altrimenti Chrome (/EDGE a prescindere dalla modalità di cui sopra o un qualsivoglia browser) *DIETRO* Hyper-V (WDAG) e, a regola, passa la paura (perché si dovrebbero CONCATENARE più bypass e non ne basterebbe solo 1/2 per il solito obiettivo, semplice )..


Chi vivrà vedrà (nel senso che nelle note di rilascio della prox v di EDGE figurerà che anche loro hanno evidentemente incorporato il fix però, se la SDSM sarebbe potuta tornar utile, nisba --e cosi peraltro per tutto il resto delle protezioni disponibili, non si saprà mai un cazzo se non in casi limite che fanno notizia--)...
LL115 Dicembre 2021, 17:47 #4
Originariamente inviato da: LL1
...nelle note di rilascio della prox v di EDGE figurerà che anche loro hanno evidentemente incorporato il fix però, se la SDSM sarebbe potuta tornar utile [...]


e infatti, in linea con le mie aspettative, ecco che ufficialmente non si fa cenno..a nulla .

https://msrc.microsoft.com/update-g...y/CVE-2021-4102

Evidentemente in questo caso non serve a una fava però perché non indicarlo chiaramente?
Anche in caso di insuccesso non lo vedrei come un fallimento ma, in compenso, l'informazione sarebbe più completa.

Va beh, restano quindi i dadi (o tirare a cogliere alimentando evidentemente la speculazione) ma è normale, ci hanno abituato così



* [SIZE="1"][COLOR="Blue"]inviato un tweet a un tipo in cerca di lumi (in poche parole: CVE-2021-4102 vs SDSM, chi la spunta??), non mi attendo risposte e nel caso aggiornerò la discussione [/COLOR][/SIZE]

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^