Chrome, Google fixa l'ennesima vulnerabilità zero-day del 2022

29 Novembre 2022 26

I browser in generale e Google Chrome più di tutti, sono tra i bersagli preferiti di hacker alla ricerca di falle di sicurezza da sfruttare per i propri discutibili fini, e considerando che viviamo in un modo che è tutto fuorché perfetto anche il software a disposizione non è mai privo di bug e perfetto sin dalla prima build. Spesso non lo è nemmeno dopo anni, e in generale i problemi emergono solo con il tempo, venendo scoperti molto spesso da parte di terzi, come ricercatori di sicurezza e sviluppatori.

La questione diventa complicata quando a scovare delle vulnerabilità sono degli hacker malintenzionati, che puntano a sfruttarle con risultati spesso disastrosi per gli utenti colpiti. In casi simili si parla sempre più spesso di vulnerabilità zero-day, come quella che ha recentemente interessato il browser Chrome per la ottava volta solamente nel 2022.

Il problema noto come CVE-2022-4135 dovrebbe trattarsi di un overflow del buffer di heap nella GPU, che secondo quanto emerso con altri casi simili, potrebbe fornire l'accesso ad aree della memoria che normalmente il software non dovrebbe consentire, aprendo potenzialmente la porta alle aree più profonde dei nostri PC. Ma niente paura! Google ha già rilasciato un aggiornamento di emergenza per Chrome 107 con l'unico scopo di risolvere questo problema.

In questo caso il problema riguarda sia Mac che PC Windows e la prima cosa che gli utenti dovrebbero fare è verificare di essere in possesso della versione di Chrome con le correzioni al problema, ossia la 107.0.5304.121. Chi ha già questa versione è al sicuro, poiché è stata rilasciata con questa correzione specifica.

Come si diceva in apertura, Google Chrome ha già risolto un totale di otto vulnerabilità zero-day nel 2022, con la prima che risale a febbraio e l'ultima scovata sul finire del mese di ottobre. Ecco perché è importante mantenere aggiornato il ​​browser di comune utilizzo, poiché con le vulnerabilità zero-day il rischio di subire attacchi prima che vengano applicate le patch è molto concreto, per cui non bisogna perdere tempo.

Chiudiamo con una nota di "colore" e meno preoccupante, ricordandovi che con l'ultima build Canary, Google Chrome ha iniziato a testare i colori dinamici. Non sapete di che si tratta? Ve lo spieghiamo meglio a questo link.


26

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
ErCipolla
Jotaro
E K

Purtroppo non necessariamente (altrimenti sarei rimasto in Italia), serve un direttore dei lavori, ma puó essere chiunque.

Jotaro

Ho confuso il progettista con chi invece fa il lavoro.
Ma poi un ingegnere edile per costruire in cantiere ci deve essere?

E K

Secondo me ha scritto correttamente, il programmatore a lavoro finito presenta un software funzionante, il costruttore a lavoro finito presenta un edificio, il progettista (ingegnere edile) invece presenta un progetto che deve ancora venire costruito. Lo assimilerei di piú al software designer, che si occupa delle interfacce ma non della programmazione in se.

Baz

su linux chromium e' perfettamente installabile, ed e' presente sui repo di tutte le distro.
diciamo che forse fuori da linux, chromium ha poco senso, quindi installarlo e' macchinoso e non c'e' nessun interesse da parte dei dev di renderlo facilmente accessibile

"E allatto pratico per quanto faccia notizia a la fine è raro per l'utente qualunque imbattersi in un exploit attivo"

Negli ultimi avvisi e Google stessa ad aver scritto "in the wild" che dovresti sapere cosa significa.

E comunque anche quando un exploit è tenuto a basso profilo per non essere "consumato", allora si tratterebbe di exploit destinato ad obiettivi sensibili che potrebbero fare la fine di Jamal Khashoggi

In entrambi i casi la situazione è catastrofica.
Io rimango dell'idea che alla lunga si legifererà e i produttori si dovranno prendere le responsabilità per le loro mancanze.

Google sa perfettamente che il C++ non è sicuro, tant'è che hanno fatto essi stessi studi per passare ad altro (mi pare Rust ma non sono sicuro) stimando che oltre il 90% degli exploit non avrebbe funzionato.

Il fatto di non aver scelto Rust per accontentare i bim**mink1a che piangono per i lag, dimostra la volontà di preferire un mondo in cui il software è un groviera.

E questo, come ho detto, prima o poi potrebbe avere rilevanza penale.

Scegliere se fare un browser che perde il 15% di prestazioni ma è 10 volte più sicuro è in mano la produttore, ergo si prenderà le sue responsabilità

ameft

Chromium è praticamente un browser per sviluppatori, non per utenti finali. Si presume che siano in grado di installare gli aggiornamenti necessari, se lo ritengono.

ErCipolla

Il fatto è che i motori dei browser sono scritti per spingere al massimo le prestazioni più che pensare alla Memory safety, ergo sono pieni di parti di codice che fanno manipolazione diretta o comunque molto low-level della memoria, minimizzando gli overhead (tradotto: con meno controlli).

E allatto pratico per quanto faccia notizia a la fine è raro per l'utente qualunque imbattersi in un exploit attivo, mentre è comunissimo avere problemi di performance, quindi è capibile che la priorità sia quella

Mako

non avevo capito, stai trollando, buona serata

Il fatto che le fonti non siano ufficiali è irrilevante.
Potrebbero gestire l'aggiornamento esattamente come fanno col setup.

Ma non lo fanno.

Rimane un Browser che funziona, visto che io lo uso come secondo.

O VUOI NEGARE CHE SIA UN BROWSER????

Mako

ti sto proprio dicendo che non si scarica e installa se non da fonti di terze parti non ufficiali

Rimane un browser.
Che si scarica, si installa, ma non si aggiorna.

Mako

chromium non è distribuito ufficialmente

E' una questione che va COMUNQUE risolta: ci sono metodi per minimizzare enormemente i problemi (linguaggi type e memoty safe, procedure rigorose, ...)

Costano, in termini di tempo di sviluppo, in termini di prestazioni del prodotto finale (memory safe = controlli automatici anche in run-time) da e via dicendo.

Ma la situazione odierna non è più sostenibile: non si può dare in mano a miliardi di persone un browser che ha in sostanza 0-day sempre attivi.

Visto che i produttori fanno orecchie di mercante, prima o poi qualcuno legifererà a riguardo e allora saranno dolori perché chi legifera non ha normalmente competenze adatte.

Chromium no.

Scemo 4.0

*il miglior browser cinese
Non il migliore in assoluto

T. P.

notizia vecchia sono già alla 107.0.5304.122 :)

ErCipolla

E' una questione di complessità e ampiezza della superficie di attacco più che di incompetenza.
Il costruttore non ha il problema che "se il cemento della marca X viene colpito con uno sputo a pH leggermente basico durante la prima luna piena dopo il solstizio d'estate si sgretola"

ErCipolla

Anche Chrome, non te lo dice ma quando lo chiudi si auto-aggiorna se ci sono aggiornamenti disponibili.

Jotaro

'Ingegneri edili'

Patrocinante in Cassazione

Opera si autoaggiorna

ameft

Tutti i browser oggi si aggiornano automaticamente...

ErCipolla

Opera però usa il motore di Chrome, quindi se c'è una vulnerabilità in Chrome con tutta probabilità c'è anche in Opera.

Patrocinante in Cassazione

vado di OPERA che si aggiorna automaticamente, il miglior browser in assoluto

Giuseppe

"Se i costruttori costruissero come i programmatori programmano, il primo picchio che passa potrebbe distruggere la civiltà"

Accessori

PanzerGlass: abbiamo provato a spaccare il vetro di un iPhone | Video

Tecnologia

Libero e Virgilio giorni di fuoco, davvero gli S23 non sono già ufficiali? | HDrewind 50

Articolo

Prime Video, tutte le novità in arrivo a febbraio 2023

Sicurezza

Oggi è il Data Privacy Day: cos'è, rischi e numeri dell'era moderna e cosa fare