Nuovo bug di Google Chrome, aggiornare subito il browser

Condividi:

Un problema di sicurezza “importante” nel browser web Google Chrome, così come per le alternative basate su Chromium, potrebbe consentire ad alcune pagine web dannose di sovrascrivere automaticamente il contenuto degli appunti senza richiedere il consenso o l’interazione dell’utente semplicemente visitandole.

Si presume che questa problematica sia stata creata in maniera accidentale nella versione 104 di Chrome.

Il problema esiste anche in Apple Safari e Mozilla Firefox, ma è giudicato molto più severo per gli utilizzatori di Chrome.

CTRL+C: come si genera il problema

Il problema nasce quando l’utente copia il testo da una pagina web: in poche parole, quando viene selezionata una parte di testo e si digita Control+C (o ⌘-C per macOS) o si clicca su “Copia” dal menu di scelta rapida.

Un gesto innocente come fare clic su un collegamento o premere il tasto freccia per scorrere verso il basso la pagina autorizza il sito web a sovrascrivere gli appunti di sistema“, ha osservato lo sviluppatore Jeff Johnson.

Perché sovrascrivere gli appunti è un problema di sicurezza

La possibilità di sostituire i dati degli appunti comporta implicazioni per la sicurezza. In un ipotetico scenario di attacco, un avversario potrebbe attirare una vittima a visitare una pagina di destinazione malevola e riscrivere l’indirizzo di un portafoglio di criptovalute precedentemente copiato dal bersaglio con uno sotto il suo controllo, con conseguente trasferimento di fondi non autorizzato.

In alternativa, gli attori delle minacce potrebbero sovrascrivere gli appunti con un collegamento a siti web appositamente predisposti, portando le vittime a scaricare software pericoloso.

Mentre stai navigando in una pagina web, la pagina può, a tua insaputa, cancellare i contenuti attuali degli appunti di sistema, che potrebbero essere stati utili per te, e sostituirli con qualsiasi cosa desideri la pagina, il che potrebbe essere pericoloso quando si incolleranno gli appunti“, ha spiegato Johnson.

Patch di Chrome già disponibile

Google è già a conoscenza del problema e ha infatti rilasciato immediatamente una patch, vista la gravità della falla e la probabilità di utilizzi malevoli da parte di malintenzionati.

Si consiglia di aggiornare quanto prima Chrome e, in generale, di verificare i propri appunti prima di eseguire operazioni sensibili sul web, come le transazioni finanziarie.

Il nuovo aggiornamento arriva successivamente a un’altra versione di Chrome (105.0.5195.52/53/54) per Windows, macOS e Linux che aveva apportato correzioni per 24 vulnerabilità, 10 delle quali relative a bug use-after-free in Network Service, WebSQL, WebSQL, PhoneHub, tra gli altri.

Ti è piaciuto questo articolo? Contatta Noi Sicurezza per una consulenza di sicurezza informatica per la tua azienda:

    Il tuo nome*

    La tua email*

    Il tuo telefono*

    La tua città

    Il tuo messaggio

    * campo obbligatorio

    Condividi:

    Lascia un commento

    Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

    Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

    Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. maggiori informazioni

    Questo sito utilizza i cookie per fonire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o clicchi su "Accetta" permetti al loro utilizzo.

    Chiudi