Google ha rilasciato delle patch per affrontare una grave vulnerabilità di sicurezza nel suo browser Chrome, che è stata sfruttata attivamente in natura. Identificata come CVE-2024-5274, la falla riguarda un bug di confusione di tipo nel motore V8 JavaScript e WebAssembly. È stata segnalata da Clément Lecigne del Threat Analysis Group di Google e da Brendon Tiszka del team di sicurezza di Chrome il 20 maggio 2024.
Le vulnerabilità di confusione di tipo si verificano quando un programma tenta di accedere a una risorsa con un tipo incompatibile. Questo può avere conseguenze gravi, poiché permette agli attori malintenzionati di accedere alla memoria al di fuori dei limiti previsti, causare crash e eseguire codice arbitrario. Questo sviluppo segna la quarta vulnerabilità zero-day che Google ha corretto dall’inizio del mese, dopo CVE-2024-4671, CVE-2024-4761 e CVE-2024-4947.
Aggiornamenti e consigli per gli utenti
Il colosso tecnologico non ha divulgato ulteriori dettagli tecnici sulla falla, ma ha riconosciuto di essere “a conoscenza del fatto che un exploit per CVE-2024-5274 è presente in natura.” Non è chiaro se questo difetto rappresenti un bypass della patch per CVE-2024-4947, anch’esso un bug di confusione di tipo nel motore V8. Con l’ultimo aggiornamento, Google ha risolto un totale di otto zero-day in Chrome negli ultimi cinque mesi:
- CVE-2024-0519: Accesso alla memoria fuori dai limiti in V8
- CVE-2024-2886: Uso dopo il rilascio in WebCodecs (dimostrato a Pwn2Own 2024)
- CVE-2024-2887: Confusione di tipo in WebAssembly (dimostrato a Pwn2Own 2024)
- CVE-2024-3159: Accesso alla memoria fuori dai limiti in V8 (dimostrato a Pwn2Own 2024)
- CVE-2024-4671: Uso dopo il rilascio in Visuals
- CVE-2024-4761: Scrittura fuori dai limiti in V8
- CVE-2024-4947: Confusione di tipo in V8
Gli utenti sono invitati ad aggiornare Chrome alla versione 125.0.6422.112/.113 per Windows e macOS, e alla versione 125.0.6422.112 per Linux per mitigare le potenziali minacce. Anche gli utenti di browser basati su Chromium, come Microsoft Edge, Brave, Opera e Vivaldi, sono invitati ad applicare le patch non appena disponibili.