Google ha rilasciato un aggiornamento per la versione Windows del suo browser Web Chrome per correggere una vulnerabilità zero-day sfruttata attivamente in natura.
Il bug di alta gravità, tracciato come CVE-2022-2294, è stato corretto con l'ultima versione di Chrome (103.0.5060.114), segnala BleepingComputer.
Google Chrome di solito si aggiorna automaticamente, non appena l'utente apre il browser, quindi è probabile che molte installazioni siano già state patchate (si apre in una nuova scheda). Tuttavia, Google afferma che potrebbero essere necessarie diverse settimane prima che la correzione raggiunga il resto.
a corto di dettagli
Nel frattempo, Google nasconde i dettagli sulla vulnerabilità e il suo sfruttamento, per non dare idea ai criminali informatici. Dovremo aspettare ancora un po' per saperne di più sul malware (si apre in una nuova scheda) utilizzato per sfruttare la falla.
"L'accesso ai dettagli e ai collegamenti dei bug potrebbe essere limitato fino a quando la maggior parte degli utenti non verrà aggiornata con una correzione", ha affermato Google. "Manterremo anche le restrizioni se il bug esiste in una libreria di terze parti da cui dipendono altri progetti in modo simile, ma che non è stato ancora risolto."
Sappiamo che il difetto è una debolezza di overflow del buffer ad alta gravità, scoperta da Jan Vojtesek di Avast, nel componente WebRTC (Web Real-Time Communications).
Gli hacker che sfruttano con successo questo bug possono arrestare in modo anomalo i programmi ed eseguire codice arbitrario sugli endpoint interessati.
Questo non è il primo bug zero-day che Google ha corretto quest'anno. In effetti, è il quarto, dopo CVE-2022-0609 (rattoppato a febbraio), CVE-2022-1096 (rattoppato a marzo) e CVE-2022-1364 (rattoppato ad aprile).
Il primo del gruppo era gestito da attori sponsorizzati dallo stato nordcoreano, hanno detto gli investigatori all'epoca.
Si consiglia agli amministratori di tenere d'occhio Chrome e assicurarsi di installare la patch, se il browser non lo fa automaticamente.
Tramite BleepingComputer (si apre in una nuova scheda)