Nuove gravi vulnerabilità per Chrome e Magento

nuove-gravi-vulnerabilità-per-Chrome-e-Magento
Condividi:

Il mese di febbraio 2022 si sta rivelando molto impegnativo per la sicurezza informatica, ne sono la prova le vulnerabilità emerse per Chrome e Magento, che riguardano praticamente tutti: Chrome perché è il browser più utilizzato da chi naviga in Internet, Magento perché è una delle più diffuse piattaforme per l’e-commerce.

Vediamo questi due casi e scopriamo cosa è successo e cosa possiamo fare per minimizzare il rischio di attacchi.

Nuovo bug 0-day di Chrome: aggiornare il browser il prima possibile

Google lunedì 14 febbraio ha implementato soluzioni per otto problemi di sicurezza nel browser Web Chrome, inclusa una vulnerabilità di elevata gravità che viene attivamente sfruttata negli attacchi, segnando il primo bug zero-day patchato da Google nel 2022.

Il difetto, denominato CVE-2022-0609, è descritto come una vulnerabilità che, se sfruttata con successo, potrebbe portare alla corruzione di dati validi e all’esecuzione di codice arbitrario sui sistemi delle vittime.

Google è a conoscenza di segnalazioni secondo cui esiste un exploit per CVE-2022-0609 “, ha affermato la società in una dichiarazione breve riconoscendo lo sfruttamento già in atto per questa vulnerabilità. Ad aver scoperto e segnalato il bug sono stati Adam Weidemann e Clément Lecigne del Threat Analysis Group (TAG) di Google.

Cosa fare con Chrome? Aggiornare, subito

Lo ripetiamo: si consiglia vivamente agli utenti di Google Chrome di aggiornare all’ultima versione 98.0.4758.102 per Windows, Mac e Linux per mitigare eventuali minacce.

Vulnerabilità critica di 0 giorni in Magento

Anche Magento sta vivendo giorni difficili: Adobe domenica 13 febbraio ha implementato patch per contenere una vulnerabilità di sicurezza critica che ha un impatto sui suoi prodotti Commerce e Magento Open Source che vengono attivamente sfruttati dagli hacker.

Identificata come CVE-2022-24086, la vulnerabilità ha un punteggio CVSS molto elevato di 9,8 su 10 nel sistema di punteggio di vulnerabilità ed è stato caratterizzato come un problema di “convalida impropria dell’input” che potrebbe essere utilizzato come arma per ottenere l’esecuzione di codice arbitrario.

Bug che non richiede utilizzo di credenziali

È anche un difetto “preautenticato”, il che significa che potrebbe essere sfruttato senza richiedere alcuna credenziale, cosa che lo rende molto pericoloso poiché facile da attuare. Adobe ha sottolineato che la vulnerabilità può essere sfruttata da un utente malintenzionato con privilegi non amministrativi.

Il difetto riguarda le versioni Adobe Commerce e Magento Open Source 2.4.3-p1 e versioni precedenti, nonché 2.3.7-p2 e versioni precedenti. Adobe Commerce 2.3.3 e versioni precedenti non sono vulnerabili.

Siti e-commerce sotto attacco

I risultati arrivano quando la società di rilevamento di vulnerabilità e malware per l’e-commerce Sansec ha rivelato la scorsa settimana un attacco Magecart che ha compromesso 500 siti che eseguono la piattaforma Magento 1 con uno skimmer per carte di credito progettato per sottrarre dati di pagamento.

Secondo un nuovo rapporto pubblicato da RiskIQ di Microsoft, nel gennaio 2022 sono stati rilevati 165 server e URL infettati da skimmer, alcuni dei quali includono domini legittimi compromessi.

Come sempre, anche per questi due casi, il consiglio è aggiornare al più presto all’ultima versione.

Ti è piaciuto questo articolo? Contattaci per una consulenza di sicurezza informatica:

    Il tuo nome*

    La tua email*

    Il tuo telefono*

    La tua città

    Il tuo messaggio

    * campo obbligatorio

    Condividi:

    Lascia un commento

    Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

    Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

    Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. maggiori informazioni

    Questo sito utilizza i cookie per fonire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o clicchi su "Accetta" permetti al loro utilizzo.

    Chiudi