Google ha recentemente distribuito un aggiornamento di sicurezza urgente per il suo browser Chrome, rivolto a una nuova vulnerabilità identificata come CVE-2024-4947.
Si tratta di un difetto grave, di tipo type confusion, che colpisce il motore JavaScript V8. La vulnerabilità è stata scoperta e segnalata da Vasily Berdnikov e Boris Larin, di Kaspersky, lo scorso 13 maggio 2024.
Google ha confermato essere a conoscenza dell'esistenza di exploit attivi che sfruttano questa vulnerabilità, rendendo questa patch di sicurezza estremamente critica.
Questa è una delle tre vulnerabilità sfruttate attivamente e rivelate solamente in questa settimana, le altre due sono identificate come CVE-2024-4671 e CVE-2024-4761.
Quest'anno, Google ha già affrontato diverse vulnerabilità zero-day precedentemente sfruttate attivamente:
- CVE-2024-0519: problema di accesso a memoria non allocata nel motore JavaScript.
- CVE-2024-2887: un'altra type confusion, questa volta nel WebAssembly, esposta durante il Pwn2Own 2024 da Manfred Paul.
- CVE-2024-2886: un problema di utilizzo di memoria in WebCodecs, dimostrato da Seunghyun Lee del KAIST Hacking Lab durante il Pwn2Own 2024.
- CVE-2024-3159: un’altra violazione di limiti di memoria nel motore V8, mostrata da Edouard Bochin e Tao Yan di Palo Alto Networks.
Inoltre, oltre alla vulnerabilità identificata come CVE-2024-4947, Google ha risolto le seguenti falle:
- CVE-2024-4948: problema di utilizzo di memoria in Dawn, segnalato da wgslfuzz.
- CVE-2024-4949: uso di memoria nel V8, trovato da Ganjiang Zhou di ChaMd5-H1.
- CVE-2024-4950: implementazione inadeguata in Downloads, segnalata da Shaheen Fazim.
Il costante aggiornamento di Google per correggere queste vulnerabilità riflette l'intensità e la frequenza degli attacchi nei confronti di uno dei browser più utilizzati globalmente, oltre all'importanza per gli utenti di installare tempestivamente gli aggiornamenti di sicurezza per proteggere i dati personali dai costanti attacchi dei cyber-criminali.