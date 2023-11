In un nuovo avviso di sicurezza pubblicato nelle scorse ore, Google ha riconosciuto l'esistenza di un exploit per la falla di sicurezza tracciata come CVE-2023-6345. Si tratta della sesta vulnerabilità zero-day sfruttata attivamente nel corso dell’anno. Il bug è stato corretto nel canale Stable Desktop, con versioni patchate distribuite a livello globale per gli utenti Windows (119.0.6045.199/.200) e per gli utenti Mac e Linux (119.0.6045.199). L’ultima vulnerabilità zero day corretta da Google risale allo scorso settembre e riguardava una falla sfruttata negli attacchi per installare spyware tramite Google Chrome.

Chrome: la falla zero day riguarda tutti i browser basati su Chromium

La nuova falla zero-day risolta da Google è stata segnalata venerdì 24 novembre da Benoît Sevens e Clément Lecigne, due ricercatori di sicurezza del Google Threat Analysis Group (TAG). Considerata come critica, questa vulnerabilità ha avuto origine da una debolezza di overflow di numeri interi all'interno di Skia, la libreria grafica 2D open source. Il bug ha provocato problemi come arresti anomali o esecuzione di codice arbitrario (Skia è utilizzato anche come motore grafico da altri prodotti come ChromeOS, Android e Flutter). Inoltre, questo bug non riguarderebbe soltanto Chrome, ma tutti i browser basati su Chromium, come Microsoft Edge, Brave, Opera e Vivaldi. Google ha deciso di non rivelare i dettagli della vulnerabilità zero day finché la maggior parte degli utenti non avrà aggiornato il proprio browser. Questa limitazione potrebbe essere estesa se il bug colpisse anche software di terze parti a cui non è stata ancora applicata la patch.

Sebbene l'avviso di Google indichi che l'aggiornamento di sicurezza potrebbe richiedere giorni o settimane per raggiungere tutti gli utenti, ad oggi sembra già essere disponibile. Per verificare la presenza dell’aggiornamento, basta accedere alle impostazioni del browser e poi cliccare su “Informazioni su Chrome”. L’update partirà in automatico e, per installarlo, basterà semplicemente cliccare su “Riavvia”.