Un problema di sicurezza “importante” nel browser web Google Chrome, così come per le alternative basate su Chromium, potrebbe consentire ad alcune pagine web dannose di sovrascrivere automaticamente il contenuto degli appunti senza richiedere il consenso o l’interazione dell’utente semplicemente visitandole.
Si presume che questa problematica sia stata creata in maniera accidentale nella versione 104 di Chrome.
Il problema esiste anche in Apple Safari e Mozilla Firefox, ma è giudicato molto più severo per gli utilizzatori di Chrome.
CTRL+C: come si genera il problema
Il problema nasce quando l’utente copia il testo da una pagina web: in poche parole, quando viene selezionata una parte di testo e si digita Control+C (o ⌘-C per macOS) o si clicca su “Copia” dal menu di scelta rapida.
“Un gesto innocente come fare clic su un collegamento o premere il tasto freccia per scorrere verso il basso la pagina autorizza il sito web a sovrascrivere gli appunti di sistema“, ha osservato lo sviluppatore Jeff Johnson.
Perché sovrascrivere gli appunti è un problema di sicurezza
La possibilità di sostituire i dati degli appunti comporta implicazioni per la sicurezza. In un ipotetico scenario di attacco, un avversario potrebbe attirare una vittima a visitare una pagina di destinazione malevola e riscrivere l’indirizzo di un portafoglio di criptovalute precedentemente copiato dal bersaglio con uno sotto il suo controllo, con conseguente trasferimento di fondi non autorizzato.
In alternativa, gli attori delle minacce potrebbero sovrascrivere gli appunti con un collegamento a siti web appositamente predisposti, portando le vittime a scaricare software pericoloso.
“Mentre stai navigando in una pagina web, la pagina può, a tua insaputa, cancellare i contenuti attuali degli appunti di sistema, che potrebbero essere stati utili per te, e sostituirli con qualsiasi cosa desideri la pagina, il che potrebbe essere pericoloso quando si incolleranno gli appunti“, ha spiegato Johnson.
Patch di Chrome già disponibile
Google è già a conoscenza del problema e ha infatti rilasciato immediatamente una patch, vista la gravità della falla e la probabilità di utilizzi malevoli da parte di malintenzionati.
Si consiglia di aggiornare quanto prima Chrome e, in generale, di verificare i propri appunti prima di eseguire operazioni sensibili sul web, come le transazioni finanziarie.
Il nuovo aggiornamento arriva successivamente a un’altra versione di Chrome (105.0.5195.52/53/54) per Windows, macOS e Linux che aveva apportato correzioni per 24 vulnerabilità, 10 delle quali relative a bug use-after-free in Network Service, WebSQL, WebSQL, PhoneHub, tra gli altri.
Ti è piaciuto questo articolo? Contatta Noi Sicurezza per una consulenza di sicurezza informatica per la tua azienda: