Chrome: vulnerabilità critica, aggiornamento immediato

II team di Google ha rilasciato un update di Chrome a seguito della scoperta di una nuova vulnerabilità zero-day etichettata come CVE-2019-5786 e classificata come ad elevata priorità. Gli utenti del browser di Big G sono dunque invitati ad aggiornare all’ultima versione disponibile, la build 72.0.3626.121, il prima possibile.

Nella nota di rilascio della nuova build il team dell’applicazione chiarisce che:

“L’accesso ai dettagli del bug rimarrà limitato fintanto che la maggior parte degli utenti non avrà aggiornato la propria installazione. Lo stesso vale per le vulnerabilità rilevante nelle librerie di terze parti.”

Mountain View ha quindi ritenuto necessario non divulgare immediatamente le caratteristiche tecniche del bug. Questo perché a causa di tale falla sarebbe stato possibile eseguire degli exploit basati su codice malevolo all’interno del browser. Quando il nuovo aggiornamento si sarà diffuso sufficientemente il team di Chrome renderà disponibili maggiori informazioni.

La vulnerabilità CVE-2019-5786 è stata segnalata qualche settimana fa da Clement Lecigne, membro del Google Threat Analysis Group. Secondo i primi report sembrerebbe che il bug sia alla base di un memory mismanagement causato dall’oggetto FileReader che Chrome sfrutta per permettere alle applicazioni di accedere a dati e file allocati nella memoria locale.

Non essendo disponibile un’analisi completa della vulnerabilità è per ora difficile stabilire il tipo di exploit realizzabile approfittando della vulnerabilità, è comunque ipotizzabile che con tale bug si potesse arrivare ad eseguire codice da remoto.