- Il confronto
- Tutorial
- Google rilascia un aggiornamento della sicurezza di Chrome per correggere questo pericoloso errore
Google ha rilasciato un aggiornamento per il suo browser web Chrome, risolvendo una serie di bug di sicurezza. Va notato in particolare che la nuova versione di Chrome 86.0.4240.111 contiene una correzione per un exploit zero-day scoperto di recente. Il bug di sicurezza, elencato come CVE-2020-15999, è una vulnerabilità di corruzione della memoria che non sorprenderà chi ha familiarità con il panorama della sicurezza di Chrome. Secondo uno studio interno condotto da Google, il 70% di tutti i gravi bug di sicurezza che interessano Chrome sono legati alla memoria. I ricercatori di Microsoft hanno fornito una cifra simile. Questa volta, l'exploit risolto utilizzava una vulnerabilità con la libreria di rendering dei caratteri FreeType fornita con Chrome. Il bug di sicurezza è stato scoperto dal team interno di Project Zero di Google dopo che gli attacchi informatici hanno preso di mira gli utenti di Chrome.
Un aggiornamento essenziale
Gli utenti di Chrome possono rimanere protetti aggiornando la versione più recente del browser, ma altri potrebbero essere ancora a rischio. Altre soluzioni software che utilizzano la libreria FreeType potrebbero comunque essere prese di mira, motivo per cui Google consiglia alle persone a rischio di scaricare l'ultima versione di FreeType per ricevere una patch. "Project Zero ha scoperto e segnalato un 0day attivamente sfruttato nel tipo gratuito utilizzato per prendere di mira Chrome", ha twittato il manager di Project Zero Ben Hawkes. "Anche se abbiamo riscontrato solo un exploit per Chrome, altri utenti freetype dovrebbero adottare la patch." È importante che gli utenti online scarichino la patch il prima possibile perché gli autori delle minacce, anche quelli che non erano a conoscenza della vulnerabilità, potrebbero decidere di attaccare. Poiché FreeType è open source, la patch nativa può essere visualizzata online e potrebbe quindi essere utilizzata dagli aggressori informatici per decodificare i propri exploit. Tramite: ZDNet