Gli ingegneri di Google hanno rilasciato un aggiornamento urgente per il browser Chrome dell'azienda, che risolve una vulnerabilità zero-day sfruttata attivamente.
In un post sul blog che annunciava l'aggiornamento stabile della versione 78.0.3904.87 di Chrome, gli ingegneri hanno rivelato di sapere che lo zero-day veniva sfruttato in natura e hanno ringraziato i ricercatori che hanno portato alla loro attenzione questo problema:
"Google conosce le informazioni che un exploit per CVE-2019-13720 esiste in natura. Vogliamo anche ringraziare tutti i ricercatori di sicurezza che hanno lavorato con noi durante il ciclo di sviluppo per impedire ai bug di sicurezza di raggiungere il canale stabile. "
cromo zero-day
La vulnerabilità zero-day è stata scoperta durante lo sfruttamento in natura da Anton Ivanov e Alexey Kulaev, due ricercatori di sicurezza di Kaspersky.
Lo stesso Zero-day è stato descritto come una vulnerabilità use-after-download nel componente audio di Chrome. Le vulnerabilità di utilizzo post-lancio sono problemi di danneggiamento della memoria che si verificano quando un'applicazione tenta di fare riferimento alla memoria precedentemente allocata ma avviata o rimossa.
Questi tipi di vulnerabilità in genere causano l'arresto anomalo di un programma, ma possono anche avere altre conseguenze indesiderate, come nel caso dell'aggiornamento Google zero-day di Google a marzo. Questa vulnerabilità, CVE-2019-5786, è stata utilizzata insieme alla versione zero-day di Windows 7, anch'essa corretta ad aprile. Secondo Kaspersky, i due exploit sono stati utilizzati insieme da un gruppo nazionale di hacker non identificato.
Al momento, non è ancora chiaro se lo scorso giorno Chrome zero sia stato utilizzato per lanciare attacchi contro gli utenti di Chrome o se fa parte di una catena di D&C. Exploit più complesso che sfrutta varie vulnerabilità, come avvenuto lo scorso marzo.
- Dai un'occhiata anche alla nostra lista completa dei migliori software antivirus del 2019
Tramite ZDNet