Chrome, rilasciato update di emergenza: corretta la sesta falla 0day del 2023

Google ha rilasciato un aggiornamento di emergenza per Chrome che risolve una falla zero-day contrassegnata come ad alto impatto, la sesta dall'inizio del 2023. Identificata come CVE-2023-6345, la vulnerabilità è stata segnalata il 24 novembre da due ricercatori del Threat Analysis Group di Google e consentiva l'esecuzione di codice da remoto.

L'aggiornamento, già disponibile per gli utenti Windows, Mac e Linux, corregge un bug di overflow di numeri interi all'interno della libreria grafica open source Skia utilizzata da Chrome e altri software. Il bug poteva portare ad arresti anomali del browser o all'esecuzione di codice arbitrario da parte di hacker.

Chrome, rilasciato aggiornamento di emergenza

L'aggiornamento è già disponibile nel canale stabile di rilascio, e Chrome può verificare e installare automaticamente gli update al riavvio successivo al download. L'azienda ha sottolineato che ci vorranno giorni, o settimane perché il roll-out venga completato, quindi ha deciso di limitare l'accesso ai dettagli tecnici della falla per dare tempo alla maggior parte degli utenti di aggiornare i browser, riducendo il rischio che gli hacker sviluppino exploit sfruttando le informazioni eventualmente divulgate.

Questo aggiornamento arriva dopo che a settembre Google aveva risolto altri due 0day (CVE-2023-5217 e CVE-2023-4863), portando a sei il totale di falle critiche di Chrome corrette quest'anno dopo essere state attivamente sfruttate in attacchi informatici mirati. Tra le altre falle menzionate da Google, c'è stato anche il bug CVE-2023-4762, segnalato come 0day solo dopo la sua correzione. Il consiglio, al solito, è verificare se la vostra installazione di Chrome è già stata aggiornata con la nuova falla: su Windows il bug è stato corretto dalla release 119.0.6045.199/.200 o successiva, su Mac e Linux sulla versione 119.0.6045.199.