Google rilascia l'ottava patch Zero-Day del 2023 per Chrome

Google ha rilasciato un aggiornamento urgente per risolvere una vulnerabilità scoperta di recente in Chrome che è stata sfruttata attivamente in natura, segnando l'ottava vulnerabilità zero-day identificata per il browser nel 2023.

Identificato come CVE-2023-7024, Google ha affermato che la vulnerabilità è un significativo difetto di overflow del buffer di heap all'interno del modulo WebRTC di Chrome che consente l'esecuzione di codice in modalità remota (RCE).

WebRTC è un'iniziativa open source che consente la comunicazione in tempo reale tramite API e gode di un ampio supporto tra i principali produttori di browser.

In che modo CVE-2023-7024 minaccia gli utenti di Chrome

Lionel Litty, capo architetto della sicurezza presso Menlo Security, spiega che il rischio derivante dallo sfruttamento è la capacità di ottenere RCE nel processo di rendering. Ciò significa che un utente malintenzionato può eseguire codice binario arbitrario sul computer dell’utente, al di fuori della sandbox JavaScript.

Tuttavia, il danno reale dipende dall'utilizzo del bug come primo passo in una catena di exploit; deve essere combinato con una vulnerabilità di fuga sandbox in Chrome stesso o nel sistema operativo per essere veramente pericoloso.

"Tuttavia, questo codice è ancora in modalità sandbox a causa dell'architettura multiprocesso di Chrome", afferma Litty, "quindi anche solo con questa vulnerabilità un utente malintenzionato non può accedere ai file dell'utente o iniziare a distribuire malware, e il suo punto d'appoggio sulla macchina scompare quando la scheda interessata viene Chiuso."

Sottolinea che la funzione di isolamento dei siti di Chrome generalmente protegge i dati di altri siti, quindi un utente malintenzionato non può prendere di mira le informazioni bancarie della vittima, anche se aggiunge che ci sono alcuni sottili avvertimenti qui.

Ad esempio, ciò esporrebbe un'origine di destinazione all'origine dannosa se utilizzasse lo stesso sito: in altre parole, un ipotetico malware.shared.com può prendere di mira vittima.shared.com.

"Mentre l'accesso al microfono o alla fotocamera richiede il consenso dell'utente, l'accesso a WebRTC in sé non lo richiede", spiega Litty. "È possibile che questa vulnerabilità possa essere presa di mira da qualsiasi sito Web senza richiedere alcun input da parte dell'utente oltre alla visita della pagina dannosa, quindi da questo punto di vista la minaccia è significativa."

Aubrey Perin, analista capo dell'intelligence sulle minacce presso Qualys Threat Research Unit, osserva che la portata del bug si estende oltre Google Chrome.

"Lo sfruttamento di Chrome è legato alla sua ubiquità: anche Microsoft Edge utilizza Chromium", afferma. "Quindi, lo sfruttamento di Chrome potrebbe anche potenzialmente prendere di mira gli utenti Edge e consentire ai malintenzionati una portata più ampia."

E va notato che i dispositivi mobili Android che utilizzano Chrome hanno un proprio profilo di rischio; in alcuni scenari inseriscono più siti nello stesso processo di rendering, soprattutto su dispositivi che non dispongono di molta RAM.

I browser rimangono uno dei principali obiettivi degli attacchi informatici

I principali fornitori di browser hanno recentemente segnalato un numero crescente di bug zero-day, segnalato solo da Google cinque da agosto.

Apple, Microsoft e Firefox sono tra gli altri che hanno rivelato a serie di vulnerabilità critiche nei loro browser, inclusi alcuni zero-day.

Joseph Carson, capo scienziato della sicurezza e Advisory CISO presso Delinea, afferma che non sorprende che hacker e criminali informatici sponsorizzati dal governo prendano di mira il popolare software, costantemente alla ricerca di vulnerabilità da sfruttare.

"Ciò porta in genere a una superficie di attacco più ampia a causa dell'utilizzo diffuso del software, delle piattaforme multiple, degli obiettivi di alto valore e di solito apre la porta ad attacchi alla catena di fornitura", afferma.

Nota che questi tipi di vulnerabilità richiedono tempo anche a molti utenti per aggiornare e applicare patch ai sistemi vulnerabili.

“Pertanto, è probabile che gli aggressori prenderanno di mira questi sistemi vulnerabili per molti mesi a venire”, afferma Carson.

Aggiunge: "Poiché questa vulnerabilità viene sfruttata attivamente, probabilmente significa che i sistemi di molti utenti sono già stati compromessi e sarebbe importante essere in grado di identificare i dispositivi che sono stati presi di mira e patchare rapidamente tali sistemi."

Di conseguenza, osserva Carson, le organizzazioni dovrebbero indagare sui sistemi sensibili con questa vulnerabilità per determinare eventuali rischi o potenziali impatti materiali.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/cloud-security/google-eighth-zero-day-patch-2023-chrome