Google ha rilasciato Chrome 98.0.4758.102 per Windows, Mac e Linux, per correggere una vulnerabilità chiamata “zero-day” segnalata come minaccia di grado elevato.
“Google è a conoscenza di segnalazioni secondo cui esiste un exploit per CVE-2022-0609“, ha affermato Google in un avviso di sicurezza pubblicato oggi.
Google afferma che l’aggiornamento di Chrome verrà implementato nelle prossime settimane. Tuttavia, è possibile installare l’aggiornamento subito semplicemente andando nel menu Chrome > Aiuto > Informazioni su Google Chrome.
Il browser verificherà automaticamente la presenza di nuovi aggiornamenti e li installerà alla successiva chiusura e riavvio di Google Chrome.
Il bug zero-day corretto oggi, tracciato come CVE-2022-0609, è descritto come “Usa gratuitamente nell’animazione” e gli è stato assegnato un livello di gravità elevato.
Questa vulnerabilità è stata scoperta da Clément Lecigne del Threat Analysis Group di Google.
Ecco la lista delle minacce eliminate
Gli aggressori sfruttano comunemente l’utilizzo di bug gratuiti per eseguire codice arbitrario su computer che eseguono versioni di Chrome senza patch o per sfuggire alla sandbox di sicurezza del browser.
Sebbene Google abbia affermato di aver rilevato attacchi che sfruttano questo attacco, non ha condiviso alcuna informazione aggiuntiva su questi incidenti o dettagli tecnici sulla vulnerabilità.
“L’accesso ai dettagli e ai collegamenti dei bug può essere limitato fino a quando la maggior parte degli utenti non viene aggiornata con una patch”, ha aggiunto Google.
Oltre allo zero-day, questo aggiornamento di Google Chrome ha risolto altre sette vulnerabilità di sicurezza, tutte classificate come gravità “elevata“.
Tuttavia, probabilmente ne vedremo molti altri divulgati nel corso dell’anno poiché nel 2021 sono stati eliminati un totale di 16 zero-day:
- CVE-2021-21148 – 4 febbraio
- CVE-2021-21166 – 2 marzo
- CVE-2021-21193 – 12 marzo
- CVE-2021-21220 – 13 aprile
- CVE-2021-21224 – 20 aprile
- CVE-2021-30551 – 9 giugno
- CVE-2021-30554 – 17 giugno
- CVE-2021-30563 – 15 luglio
- CVE-2021-30632 e CVE-2021-30633 – 13 settembre
- CVE-2021-37973 – 24 settembre
- CVE-2021-37976 e CVE-2021-37975 – 30 settembre
- CVE-2021-38000 e CVE-2021-38003 – 28 ottobre
- CVE-2021-4102 – 13 dicembre