Google risolve nuovo zero-day di Chrome sfruttato al Pwn2Own

Google ha risolto un'altra vulnerabilità zero-day nel browser Chrome, sfruttata dai ricercatori di sicurezza durante il concorso di hacking Pwn2Own del mese scorso. Questo difetto di sicurezza di elevata gravità è stato tracciato come CVE-2024-3159. Si tratta di un bug causato da un punto debole di lettura fuori limite nel motore JavaScript V8 di Chrome. Gli aggressori remoti possono sfruttare la vulnerabilità utilizzando pagine HTML predisposte per ottenere l'accesso ai dati oltre il buffer di memoria tramite la corruzione dell'heap, che può fornire loro informazioni sensibili o innescare un arresto anomalo. I ricercatori di Palo Alto Networks, Edouard Bochin e Tao Yan, hanno eseguito una dimostrazione dello zero-day il secondo giorno del Pwn2Own di Vancouver 2024. Lo scopo era risolvere l'hardening V8. Il loro exploit double-tap ha permesso loro di eseguire codice arbitrario su Google Chrome e Microsoft Edge e guadagnare un premio di 42.500 dollari.

Google: la patch del bug arriverà in una futura versione di Chrome

Google ha ora corretto lo zero-day nella versione stabile del canale Google Chrome 123.0.6312.105/.106/.107 (Windows e Mac) e 123.0.6312.105 (Linux). Questa correzione verrà implementata a livello globale nei prossimi giorni. Una settimana fa, Google ha corretto altri due zero-day di Chrome sfruttati al Pwn2Own di Vancouver 2024. Il primo era una debolezza di confusione di tipo ad alta gravità (CVE-2024-2887) nello standard aperto WebAssembly (Wasm), che colpiva Chrome e Microsoft Edge. Il secondo, un punto debole use-after-free (UAF) nell'API WebCodecs (CVE-2024-2886), è stato sfruttato per ottenere l'esecuzione remota di codice su entrambi i browser web Chromium.

In totale, quest'anno Google ha applicato patch a quattro zero-day di Chrome, l’ultimo dei quali è stato risolto a gennaio come zero-day sfruttato attivamente (CVE-2024-0519). Questo consentiva agli aggressori di bloccare browser privi di patch o di accedere a informazioni sensibili a causa di un problema di accesso alla memoria fuori limite nel motore JavaScript V8. Martedì, la società ha anche corretto due zero-day Android. Questi venivano sfruttati dalle società forensi per sbloccare i telefoni Pixel senza PIN e ottenere l'accesso ai dati archiviati al loro interno.