Chrome: nuova vulnerabilità RCE nel canale Dev

Massima allerta per Chrome e più in generale per i browser basati su Chromium: nel corso degli ultimi giorni è stata infatti individuata una vulnerabilità critica di tipo RCE (Remote Code Execution) nel motore JavaScript e WebAssemply V8.

Chrome: falla critica RCE nel motore JavaScript e WebAssemply V8

La falla è stata identificata nel canale Dev di Chrome 101 ed è stata segnalata a Google da Weibo Wang, un ricercatore di sicurezza informatica che lavora per la società Numen Cyber Technology. È stata già sanata, per cui si possono dormire sonni tranquilli, a patto ovviamente che sia stato effettuato l’aggiornamento del browser.

Google, però, non ha ancora rivelato la vulnerabilità tramite il portale Chromium bug tracker per permettere al maggior numero possibile di utenti di installare prima la versione patchata.

La falla è relativa a un caso di use-after-free nelle istruzioni di ottimizzazione del componente e qualora sfruttata può permettere a un malintenzionato di eseguire codice arbitrario nel contesto del browser. Andando più in dettaglio, si verifica nella fase di selezione delle istruzioni in cui è stata selezionata l’indicazione sbagliata con conseguente eccezione all’accesso alla memoria.

Le vulnerabilità di tipo use-after-freee si riscontrano quando si accede alla memoria precedentemente liberata, implicando un comportamento non definito e causando il crash di un programma, l’uso di dati corrotti o, nella peggiore delle ipotesi, quello di codice arbitrario.

La cosa che tuttavia preoccupa maggiormente è che la falla può essere sfruttata da remoto tramite un sito Web appositamente adibito allo scopo, al fine di aggirare le restrizioni di sicurezza ed eseguire codice arbitrario per compromettere il sistema di riferimento.

Da notare che preservare al massimo i propri dispositivi da malintenzionati, virus e altre varie ed eventuali minacce informatiche, è bene munirsi di un buon antivirus, come nel caso di Avast Premium Security.