Aggiorna Chrome: nuovo attacco 0-day minaccia il tuo browser

aggiorna-chrome-vulnerabilità-2020-10-21
Condividi:

Se utilizzi Google Chrome su computer Windows, Mac o Linux, devi aggiornare immediatamente il tuo browser all’ultima versione rilasciata da Google il 21 Ottobre.

Patch Google Chrome: scarica la versione 86.0.4240.111

Google ha rilasciato oggi la versione 86.0.4240.111 di Chrome per correggere diversi problemi di sicurezza di elevata severità, inclusa una vulnerabilità zero-day che è stata sfruttata da hacker per “dirottare” le vittime su siti malevoli.

La vulnerabilità “zero-day” CVE-2020-15999

Rilevata come CVE-2020-15999, la vulnerabilità di tipo zero-day (cioè non ancora nota allo sviluppatore e agli antivirus, perciò non rilevabile dai tradizionali software di protezione) è un difetto di danneggiamento della memoria in Freetype, una popolare libreria di sviluppo software open source per il rendering dei caratteri, fornita con Chrome.

Quando è stata scoperta?

La vulnerabilità CVE-2020-15999 è stata scoperta e segnalata dal ricercatore di sicurezza Sergei Glazunov di Google Project Zero il 19 ottobre.

Glazunov ha anche immediatamente segnalato la vulnerabilità zero-day agli sviluppatori di FreeType, che hanno quindi sviluppato una patch di emergenza per risolvere il problema il 20 ottobre con il rilascio di FreeType 2.10.4.

A rischio non solo Chrome

Senza rivelare i dettagli tecnici della vulnerabilità, il responsabile tecnico del Progetto Zero di Google, Ben Hawkes, ha avvertito su Twitter che, sebbene il team abbia individuato solo un exploit rivolto agli utenti di Chrome, è possibile che anche altri progetti che utilizzano FreeType siano vulnerabili e si consiglia di implementare la correzione inclusa nella versione di FreeType 2.10.4.

Anche se abbiamo visto solo un exploit, relativo a Chrome, altri utenti di Freetype dovrebbero adottare la correzione nella versione di FreeType 2.10.4“, Scrive Hawkes.

Google ha rilasciato Chrome 86.0.4240.111 come versione “stabile” di Chrome, che è disponibile per tutti gli utenti, affermando che la società è a conoscenza di rapporti secondo cui “esiste un exploit per CVE-2020-15999 “, ma non ha rivelato ulteriori dettagli sugli attacchi attivi.

Chrome 86.0.4240.111: corrette altre quattro vulnerabilità

Oltre alla vulnerabilità zero-day di FreeType, Google ha anche corretto altri quattro difetti nell’ultimo aggiornamento di Chrome, tre dei quali sono vulnerabilità ad alto rischio: un bug di implementazione inappropriato in Blink, un bug nei media di Chrome, un bug in PDFium e uno a medio rischio nella funzione di stampa del browser:

  • CVE-2020-15999 – Rischio elevato (nome vulnerabilità: “Heap buffer overflow in Freetype”)
  • CVE-2020-16000 – Rischio elevato (nome vulnerabilità: “Inappropriate implementation in Blink”)
  • CVE-2020-16001 – Rischio elevato (nome vulnerabilità: “Use after free in media”)
  • CVE-2020-16002 – Rischio elevato (nome vulnerabilità: “Use after free in PDFium”)
  • CVE-2020-16003 – Rischio medio (nome vulnerabilità: “Use after free in printing”)

Sebbene il browser web Chrome informi automaticamente gli utenti sull’ultima versione disponibile, si consiglia agli utenti di attivare manualmente il processo di aggiornamento andando su “Guida → Informazioni su Google Chrome” dal menu.

Ti è piaciuto questo articolo? Scopri i servizi di consulenza informatica di Noi Sicurezza:

Scopri di più
Condividi:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.