Dovreste aggiornare Chrome in questo momento (di nuovo)

Dovreste aggiornare Chrome in questo momento (di nuovo)

Attenzione agli utenti dei browser Chrome e Chromium: La vostra attività su Internet è vulnerabile ai cyberattacchi, a meno che non aggiorniate l'ultima versione del vostro browser.

Martedì scorso, Google ha annunciato sul blog Chrome Releases che è disponibile una nuova versione di Chrome, la 119.0.6045.199 per Mac e Linux e la 119.0.6045.199/.200 per Windows, e che viene applicata una patch a sette diverse vulnerabilità di sicurezza. Tutti questi problemi scoperti sono classificati come di gravità "elevata", ma Google ne nomina solo sei:

• Alta CVE-2023-6348: Confusione dei tipi nel controllo ortografico. Segnalato da Mark Brand del Progetto Zero di Google il 2023-10-10.
• Alta CVE-2023-6347: Uso dopo libero in Mojo. Segnalato da Leecraso e Guang Gong dell'Istituto di ricerca sulle vulnerabilità 360 il 2023-10-21.
• Alta CVE-2023-6346: Uso dopo libero in WebAudio. Segnalato da Huang Xilin di Ant Group Light-Year Security Lab il 2023-11-09
• Alta CVE-2023-6350: accesso alla memoria fuori dai limiti in libavif. Segnalato da Fudan University il 2023-11-13
• Alta CVE-2023-6351: Uso dopo la liberazione in libavif. Segnalato dall'Università di Fudan il 2023-11-13
• Alta CVE-2023-6345: overflow dell'intero in Skia. Segnalato da Benoît Sevens e Clément Lecigne del Threat Analysis Group di Google il 2023-11-24

Sebbene tutte le vulnerabilità siano importanti da correggere, l'ultima, CVE-2023-6345, è la più preoccupante. Google ha confermato di essere a conoscenza dell'esistenza di un exploit per questa vulnerabilità, il che significa che i malintenzionati sanno come usarla contro gli utenti o l'hanno già fatto.

Non sappiamo molto del problema, se non che si tratta di una falla di overflow di interi in Skia. Skia è un motore grafico 2D open source, mentre un integer overflow si verifica quando il risultato di un'operazione non rientra nella quantità di memoria riservata dal sistema. Sebbene non tutte le falle di integer overflow portino a vulnerabilità, questa lo fa, il che significa che i malintenzionati potrebbero usarla per prendere il controllo del sistema.

Questo aggiornamento segue quello del 14 novembre, che ha corretto quattro falle di sicurezza, e quello del 7 novembre, che ne ha corretta una. L'ultimo aggiornamento che ha corretto una falla di sicurezza zero-day è stato rilasciato l'11 settembre.

Come aggiornare il browser

Poiché questa falla riguarda il codice sottostante utilizzato in Chrome, tutti i browser basati su Chromium dovrebbero essere aggiornati per correggere questo problema. Ciò significa Chrome, ovviamente, ma anche browser come Edge, Opera e Brave.

Il browser potrebbe essere impostato per l'aggiornamento automatico, ma è possibile attivare l'aggiornamento manualmente se l'aggiornamento non è ancora stato installato. Di solito, ciò avviene nelle impostazioni del browser. In Chrome, ad esempio, è possibile fare clic sui tre puntini nell'angolo superiore destro della finestra, andare su Guida > Informazioni su Google Chrome, quindi consentire al browser di cercare un aggiornamento. Se è disponibile, seguite le istruzioni sullo schermo per installare l'aggiornamento.

Fonte: lifehacker.com