Google ha recentemente implementato una correzione per una vulnerabilità zero-day nel suo browser Chrome, contrassegnata come CVE-2024-3159. Questo problema di sicurezza, scoperto durante la competizione di hacking Pwn2Own tenutasi lo scorso marzo, coinvolgeva un "out of bound" nella memoria del motore JavaScript V8.
La rivelazione e l'exploit di questa falla sono stati il risultato degli sforzi congiunti di Edouard Bochin e Tao Yan di Palo Alto Networks, premiati per il lavoro svolto con 42.500 dollari e 9 punti Master of Pwn nel corso della competizione. I due sono riusciti a dimostrare la vulnerabilità sia su Google Chrome che su Microsoft Edge.
Confirmed! @le_douds and @Ga1ois from Palo Alto used an OOB Read plus a novel technique for defeating V8 hardening to get arbitrary code execution in the renderer. The were aboe to exploit #Chrome and #Edge with the same bugs, earning $42,500 and 9 Master of Pwn points. #Pwn2Own pic.twitter.com/EhFIEntnPw
— Zero Day Initiative (@thezdi) March 21, 2024
Gli attaccanti potevano sfruttare tale vulnerabilità inducendo le vittime a visitare una pagina HTML appositamente creata, permettendo così l'accesso a dati al di fuori del buffer di memoria e provocando la corruzione della memoria heap. Ciò avrebbe potuto condurre alla divulgazione di informazioni sensibili o al crash del sistema.
I ricercatori di sicurezza di Palo Alto Networks, Bochin e Yan, hanno illustrato con successo la vulnerabilità zero-day, esibendosi il secondo giorno del Pwn2Own di Vancouver e riuscendo a superare le difese del motore JavaScript V8.
In risposta, Google ha rilasciato un aggiornamento per il canale Stable di Chrome: le versioni 123.0.6312.105/.106/.107 per Windows e Mac e la versione 123.0.6312.105 per Linux, che arriveranno gradualmente nei prossimi giorni, ovviamente vi consigliamo di aggiornare il browser non appena l'update è disponibile.
Nel corso dell'ultimo mese, Google è intervenuta su alcune vulnerabilità del browser Chrome, incluso il trattamento di due vulnerabilità zero-day, identificate come CVE-2024-2886 e CVE-2024-2887, anch'esse scoperte durante la competizione di hacking Pwn2Own.