L'ultimo aggiornamento di Google Browser Chrome è uscito, aumentando il numero di versione in quattro parti a 104.0.5112.101 (Mac e Linux) o a 104.0.5112.102 (Finestre).
Secondo Google, la nuova versione include 11 correzioni di sicurezza, una delle quali è annotata con l'osservazione che "un exploit [per questa vulnerabilità] esiste in natura", rendendolo un buco di zero-day.
Il nome zero-day ricorda che c'erano zero giorni in cui anche l'utente o l'amministratore di sistema più ben informati e proattivi avrebbero potuto essere rattoppati prima dei Cattivi.
Aggiorna i dettagli
I dettagli sugli aggiornamenti sono scarsi, dato che Google, come molti altri fornitori in questi giorni, limita l'accesso ai dettagli dei bug "fino a quando la maggior parte degli utenti non viene aggiornata con una correzione".
Ma di Google bollettino di rilascio enumera esplicitamente 10 degli 11 bug, come segue:
- CVE-2022-2852: Utilizzare gratuitamente in FedCM.
- CVE-2022-2854: Usalo gratuitamente in SwiftShader.
- CVE-2022-2855: Utilizzare dopo gratis in ANGLE.
- CVE-2022-2857: Utilizzare dopo gratis in Blink.
- CVE-2022-2858: Utilizzare dopo il flusso di accesso gratuito.
- CVE-2022-2853: Overflow del buffer di heap nei download.
- CVE-2022-2856: Convalida insufficiente di input non attendibili in Intents. (Giorno zero.)
- CVE-2022-2859: Utilizzare gratuitamente in Chrome OS Shell.
- CVE-2022-2860: Applicazione dei criteri insufficiente nei cookie.
- CVE-2022-2861: Implementazione inappropriata nell'API Extensions.
Come puoi vedere, sette di questi bug sono stati causati da una cattiva gestione della memoria.
A uso-dopo-libero vulnerabilità significa che una parte di Chrome ha restituito un blocco di memoria che non prevedeva più di utilizzare, in modo che potesse essere riallocato per l'uso altrove nel software...
...solo per continuare comunque a utilizzare quella memoria, facendo potenzialmente in modo che una parte di Chrome si basi sui dati di cui pensava di potersi fidare, senza rendersi conto che un'altra parte del software potrebbe ancora manomettere quei dati.
Spesso, bug di questo tipo causano il crash completo del software, confondendo i calcoli o l'accesso alla memoria in modo irrecuperabile.
A volte, tuttavia, i bug use-after-free possono essere attivati deliberatamente per indirizzare erroneamente il software in modo che si comporti male (ad esempio saltando un controllo di sicurezza o fidandosi del blocco sbagliato di dati di input) e provochi comportamenti non autorizzati.
A overflow del buffer di heap significa chiedere un blocco di memoria, ma scrivere più dati di quanti ne rientrino in sicurezza.
Questo fa traboccare il buffer ufficialmente allocato e sovrascrive i dati nel blocco di memoria successivo, anche se quella memoria potrebbe essere già utilizzata da qualche altra parte del programma.
Gli overflow del buffer, quindi, in genere producono effetti collaterali simili a quelli dei bug use-after-free: per lo più, il programma vulnerabile andrà in crash; a volte, tuttavia, il programma può essere indotto con l'inganno a eseguire codice non attendibile senza preavviso.
Il buco del giorno zero
Il bug del giorno zero CVE-2022-2856 viene presentato con nessun dettaglio maggiore di quello che vedi sopra: "Convalida insufficiente di input non attendibili negli intenti."
Un Chrome Intento è un meccanismo per attivare le app direttamente da una pagina Web, in cui i dati sulla pagina Web vengono inseriti in un'app esterna avviata per elaborare tali dati.
Google non ha fornito alcun dettaglio su quali app o quale tipo di dati potrebbero essere manipolati in modo dannoso da questo bug...
...ma il pericolo sembra piuttosto ovvio se l'exploit noto comporta l'alimentazione silenziosa di un'app locale con il tipo di dati rischiosi che normalmente verrebbero bloccati per motivi di sicurezza.
Cosa fare?
Probabilmente Chrome si aggiornerà da solo, ma ti consigliamo sempre di controllare comunque.
Su Windows e Mac, usa Più > Aiuto > Informazioni su Google Chrome > Aggiorna Google Chrome.
C'è un bollettino di rilascio separato per Chrome per iOS, che va alla versione 104.0.5112.99, ma ancora nessun bollettino [2022-08-17T12:00Z] che menziona Chrome per Android.
Su iOS, verifica che le app dell'App Store siano aggiornate. (Utilizza l'app App Store stessa per farlo.)
Puoi guardare qualsiasi annuncio di aggiornamento imminente su Android su Google Chrome Releases blog
Anche la variante Chromium open source del browser proprietario Chrome è attualmente in versione 104.0.5112.101.
Microsoft Edge note di sicurezza, tuttavia, attualmente [2022-08-17T12:00Z] dicono:
16 Agosto 2022
Microsoft è a conoscenza del recente exploit esistente in natura. Stiamo lavorando attivamente per rilasciare una patch di sicurezza, come riportato dal team di Chromium.
Puoi tenere d'occhio un aggiornamento di Edge sull'ufficiale di Microsoft Aggiornamenti di sicurezza Edge .
- blockchain
- geniale
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Google Chrome
- Kaspersky
- il malware
- Mcafee
- Sicurezza nuda
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- vulnerabilità
- sicurezza del sito Web
- zefiro
![S3 Ep124: Quando le cosiddette app di sicurezza diventano canaglia [Audio + Testo]](https://platoblockchain.com/wp-content/uploads/2023/03/s3-ep124-when-so-called-security-apps-go-rogue-audio-text-300x157.png "S3 Ep124: Quando le cosiddette app di sicurezza diventano canaglia [Audio + Testo]")
