Chrome, risolta una falla zero-day già sfruttata: aggiornate ora

Il browser Chrome è stato appena aggiornato con una patch di sicurezza mirata a correggere una zero-day già sfruttata nel mondo reale.

Avatar di Marco Doria

a cura di Marco Doria

Il team di Google responsabile del browser Chrome ha rilasciato una patch di emergenza per l'ultima versione del noto programma, ossia la 107.

L'obiettivo dell'aggiornamento di sicurezza era risolvere una vulnerabilità zero-day registrata con l'ID CVE-2022-3723. A quanto pare, la falla riguarda il motore Javascript V8 di Chrome ed è stata segnalata da alcuni ricercatori di Avast il 25 ottobre 2022.

La zero-day sarebbe stata già sfruttata nel mondo reale, ma Google non ha condiviso i dettagli dell'attacco, né ha citato un possibile responsabile.

Come si legge in una nota pubblicata dall'azienda:

"Google è a conoscenza delle segnalazioni circa la presenza di CVE-2022-3723 in casi d'uso reali. L'accesso ai dettagli del bug e ai relativi link potrebbe essere ancora soggetto a restrizione fino alla distribuzione di un fix alla maggior parte degli utenti. Manterremo altresì le restrizioni nel caso in cui il bug sia presente anche in una libreria di terzi da cui dipendano altri progetti, per cui non si ancora disponibile un fix".

Nel corso del 2022, Google ha risolto altre sei vulnerabilità di tipo zero-day. Il caso precedente risaliva a settembre 2022, quando l'azienda ha rilasciato l'aggiornamento a Chrome 105.0.5195.1020.

Vi ricordiamo che le vulnerabilità zero-day sono falle nei software che possono essere sfruttate per condurre attacchi informatici di varia natura. Vengono denominate zero-day poiché potrebbe trattarsi di un bug non ancora noto all'azienda responsabile del software in questione oppure una vulnerabilità nota ma di cui ancora non è stata trovata la soluzione.

Molte società, Google inclusa, oltre ad avvalersi dei propri team interni, organizzano iniziative come i programmi di bug bounty, all'interno dei quali vengono previsti dei premi in denaro a chiunque riesca a individuare e dimostrare l'esistenza di vulnerabilità nei prodotti dell'azienda organizzatrice.

Si tratta di una pratica molto comune e utile, poiché, molto spesso, vengono rilevate problematiche in tempi molto ristretti, grazie all'incentivo economico e allo sforzo congiunto di vari esperti di sicurezza. Una delle piattaforme più note per la conduzione di iniziative di questo tipo è Bugcrowd, un servizio di cybersicurezza basato sul crowdfunding.

Esiste anche una manifestazione chiamata Pwn2Own, competizione annuale tra hacker che si svolge da 15 anni in Canada, in cui i partecipanti vengono sfidati a trovare vulnerabilità e dimostrare exploit per diversi prodotti tecnologici e software, dai sistemi operativi ai browser web. Il tutto si svolge come un vero e proprio torneo, con classifica, punti e premi in denaro o beni, ed è un’ottima occasione in cui le aziende possono riscontrare e correggere le falle nei propri software e hardware (da regolamento, hanno 90 giorni per patchare).

Nel corso degli anni, nessuna azienda è uscita “indenne” dalla competizione, con un solo record positivo ottenuto da Google Chrome, infatti il browser si è distinto nel 2014, con un'unica falla di sicurezza riscontrata durante l'evento.

Leggi altri articoli