Google Chrome 91, aggiornamento urgente per una falla critica attiva

19 Luglio 2021 16

La settimana scorsa è emersa una vulnerabilità zero-day nella versione 91 di Chromium, il browser open-source da cui scaturiscono software commerciali tra cui Chrome stesso, Microsoft Edge, Samsung Internet, Opera e molti altri. Conviene aggiornare subito, sia perché è attualmente in corso di sfruttamento, sia perché all'utente basta visitare il sito sbagliato per diventarne vittima. Le patch sono in distribuzione su tutte le piattaforme a rischio, ovvero tutte quelle desktop e Android.

La falla è indentificata con la sigla CVE-2021-30563, ed è di classe "Type Confusion" - un tipo errore logico relativamente nuovo in cui un software sbaglia a usare o riconoscere la corretta tipologia di oggetti. In questo specifico caso, il bug risiede in V8, il motore JavaScript di Chromium: l'exploit permette agli hacker di eseguire codice non autorizzato sulla macchina della vittima, compromettendone quindi l'integrità. Tradotto in parole più semplici, è possibile che un sito installi virus, spyware o altri malware sul dispositivo dell'utente.

Secondo Google stessa, il bug è stato segnalato agli sviluppatori da una fonte che ha scelto di rimanere anonima il 12 luglio; la patch è stata distribuita appena 3 giorni dopo, il 15 luglio. La fonte elenca tutte le build esatte di Chrome vulnerabili all'attacco, ma possiamo semplificare con tutte quelle della famiglia 91. La patch distribuita il 15 luglio chiude altre 7 falle, ma solo per quella discussa qui ci sono prove concrete di exploit in distribuzione.

La distribuzione della patch dovrebbe completarsi entro una manciata di giorni - in effetti potrebbe già essere arrivato. La versione sicura è la 91.0.4472.164 su desktop e Android.

Per forzare la verifica di un aggiornamento su desktop Windows, Mac e Linux, è sufficiente:

  • Aprire il menu dei tre puntini verticali in alto a destra, vicino alla propria immagine account.
  • Scegliere Guida > Informazioni su Google Chrome.
  • Se c'è un aggiornamento disponibile, il browser lo applica automaticamente e chiede di riavviare (il browser, non il computer).

Su Android, invece, è sufficiente:

  • Aprire il Play Store e premere la propria icona utente in alto a destra
  • Scegliere Gestisci app e dispositivo
  • Guardare la voce Aggiornamenti disponibili e premere Aggiorna a fianco di Chrome (oppure premere Aggiorna tutto per applicarli tutti quanti)
Il migliori Smartphone Apple? Apple iPhone 12, in offerta oggi da atpservicepomezia a 675 euro oppure da Amazon a 749 euro.

16

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Dante

Il problema é che ci sono tanti idioti che lo usano!

Alessio Ferri

Sì, ma il 90% dei siti non è una web app e non ha bisogno di avere un bundle di 1 MB da distribuire con CDN.

ErCipolla

Al giorno d'oggi si usano molto anche per le librerie, vedi l'usatissimo cdnjs (beh, se non stai usando a monte un sistema di pacchettizzazione che ti prepara l'app con tutte le librerie e risorse già dentro s'intende)

Alessio Ferri

Non potrebbe funzionare così per via delle licenze. Inoltre anche se tu potessi hostare codice altrui senza problemi di licenza, il tuo contenuto duplicato renderebbe più lenta la diffusione di un malware da supply chain.

Alessio Ferri

CDN per i media e per il css si può tenere.

Gabriele Gabry

Lo zio di Salvini. Non lo conosci?

TheTruth

Chrome chi???

Fortuna che edge é ferma alla 77

The martian

Allora passo a Firefox, disabilitando il browser e riabilitandolo rimane sempre la versione old non carica la .164

se i browser accettassero solo script di dominio, la cosa si raggirerebbe tramite comunicazione server-to-server ("sito che visti"-to-"sito di terze parti che necessita di far girare codice sul tuo browser").

In sostanza scaricheresti la pagina con il codice JS dal dominio che visiti ma copiato server-to-server da terze parti.

Ci sarebbe solo un lieve miglioramento in termini di sicurezza (perché per fare server-to-server ogni terza parte dovrebbe fare accordi col dominio)

77fabio

Si, ma se una mattina ti svegli ed hai 4 palle, il nemico è già alle spalle.

come ogni settimana...
Ormai il business degli 0-day è totalmente fuori controllo e solo con una riscrittura da zero, usando linguaggi che gestiscono la memoria si riuscirà a migliorare la situazione.

ErCipolla

Eh, ma così dici addio anche a tutto il resto, visto che ormai tutti i siti o quasi fanno uso di CDN...

ErCipolla

Gli aggiornamenti sul Play Store sono scaglionati, quindi non è detto arrivi a tutti subito.

The martian

Anche forzando gli aggiornamenti su android non vado oltre la 91.0.4472.120.Quindi sto tranquillo come un pisello nel suo baccello?

Alessio Ferri

Ottimo, a questo punto bisognerebbe avere un blocco del caricamento del codice fuori dominio mentre sei su un sito (e così addio anche agli ads).

Recensione OnePlus Nord 2: sarà lo smartphone giusto per molti

Xiaomi Mi 11 Lite come non l'avete mai visto | Video

Recensione Sony Xperia 1 III: super fotocamere e spirito bollente

Recensione vivo X60 Pro: cosa offre lo smartphone ufficiale degli Europei