Google Chrome risolve il sesto zero-day sfruttato nel 2024

Google ha rilasciato aggiornamenti di sicurezza di emergenza per il browser Chrome per risolvere una vulnerabilità zero-day di elevata gravità contrassegnata come sfruttata negli attacchi. Questa correzione arriva solo tre giorni dopo che Google ha risolto un'altra vulnerabilità zero-day in Google Chrome, ovvero CVE-2024-4671. Quest’ultima era causata da un punto debole use-after-free nel componente Visuals. L'ultimo bug è stato tracciato come CVE-2024-4761. Si tratta di un problema di scrittura fuori dai limiti che influisce sul motore JavaScript V8 di Chrome e causa l'esecuzione del codice JS nell'applicazione. I problemi di scrittura fuori dai limiti si verificano quando a un programma è consentito scrivere dati all'esterno dell'array o del buffer specificato. Ciò causa potenzialmente l'accesso non autorizzato ai dati, l'esecuzione di codice arbitrario o l'arresto anomalo del programma. Come si legge sul sito ufficiale di Big G: "Google è a conoscenza dell'esistenza di un exploit per CVE-2024-4761".

Google Chrome: come aggiornare il browser contro il nuovo zero-day

L'azienda ha corretto la falla di sicurezza con il rilascio di 124.0.6367.207/.208 per Mac/Windows e 124.0.6367.207 per Linux. Gli aggiornamenti verranno distribuiti a tutti gli utenti nei prossimi giorni/settimane. Per gli utenti del canale "Stabile esteso", le correzioni saranno rese disponibili nella versione 124.0.6367.207 per Mac e Windows. Chrome si aggiorna automaticamente quando è disponibile un aggiornamento di sicurezza. Tuttavia, gli utenti possono confermare che stanno utilizzando la versione più recente accedendo alle Impostazioni del browser e cliccando su “Informazioni su Chrome”. Una volta terminato l'aggiornamento, per renderlo effettivo basterà cliccare sul tasto “Riavvia”.

Quest'ultima vulnerabilità di Google Chrome è il sesto bug zero-day scoperto e corretto nel popolare browser web dall'inizio dell'anno. L'azienda rileva che un ricercatore anonimo ha segnalato il difetto il 9 maggio 2024, ma al momento non sono stati divulgati ulteriori dettagli. Come ricorda ancora Google: “L’accesso ai dettagli e ai collegamenti del bug potrebbe essere limitato fino a quando la maggior parte degli utenti non verrà aggiornata con una correzione. Manterremo inoltre le restrizioni se il bug esiste in una libreria di terze parti da cui dipendono in modo simile altri progetti, ma che non è stato ancora risolto". Chi desidera avere maggiori informazioni relative a questo bug zero-day dovrà quindi ancora qualche settimana (o mese).