La scoperta è del 25 settembre, e sì, parliamo ancora di ZERO-DAY decisamente di pubblico interesse.
Google ha reagito prontamente alla scoperta di una vulnerabilità zero-day in Chrome, la quale è stata sfruttata da un fornitore di spyware commerciale.
La segnalazione di questa vulnerabilità è giunta al team di Chrome solo due giorni prima del rilascio della patch che ha corretto altre due vulnerabilità Zero-day come vedremo dopo, grazie all’opera instancabile di Clement Lecigne, membro del Threat Analysis Group (TAG) di Google.
A seguito della segnalazione la società ha confermato la scoperta asserendo di aver rilevato l’esistenza di un exploit per questa vulnerabilità, identificata con il codice CVE-2023-5217, la quale è stata descritta come un “heap buffer overflow nella codifica vp8 in libvpx”.
( https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-5217 )
Secondo alcuni esperti di settore la falla sarebbe già stata attivamente utilizzata da un fornitore di servizi di sorveglianza commerciale.
In un’ottica di gestione etica delle informazioni, l’avviso diffuso da Google non fornisce ulteriori dettagli sugli attacchi che hanno sfruttato questa vulnerabilità zero-day.
Google ha specificato che “l’accesso ai dettagli e ai collegamenti dei bug potrebbe essere limitato fino a quando la maggior parte degli utenti non avrà installato la correzione”.
Questo chiaramente per impedire che attori malevoli meno preparati si affrettino ad abusare della nuova vulnerabilità sfruttando la notizia ed approfittando dei tempi usualmente lunghi con cui utenti e società meno solerti vanno ad aggiornare i propri sistemi.
In questa ultima patch, Google ha risolto anche altri due difetti di elevata gravità segnalati dai ricercatori:
- CVE-2023-5186 – Una vulnerabilità use after free (UAF) nelle password
( https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-5186 ) - CVE-2023-5187 – Una vulnerabilità use after free (UAF) nelle estensioni
( https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-5187 )
La medesima falla, a seguito della scoperta di Clement Lecigne, è stata corretta da Mozilla per il suo browser Firefox
Ancora una volta, patching is the way..
#zeroday #patching #exploit #google #cyberthreat #cybersecurity #observere