Alcuni giorni dopo che Google ha corretto un bug di alta gravità che veniva sfruttato selvaggiamente, Microsoft ha fatto lo stesso con Edge.
Tracciato come CVE-2022-2294, il difetto è presente nel motore del browser Chromium, il che significa che sia Chrome che Edge sono interessati.
Oltre a rivelare che il Day Zero viene estratto in natura, Google ha tenuto per sé i dettagli. Ciò probabilmente darà agli utenti abbastanza tempo per riparare (si apre in una nuova scheda) i loro endpoint e impedire agli attori delle minacce di avere munizioni per attacchi futuri.
giorno zero noto
"L'accesso ai dettagli e ai collegamenti dei bug potrebbe essere limitato fino a quando la maggior parte degli utenti non viene aggiornata con una correzione", ha affermato Google. "Manterremo le restrizioni anche se il bug esiste in una libreria di terze parti su cui si basano in modo simile altri progetti, ma non è stata ancora risolta".
Sappiamo che il difetto è una debolezza di overflow del buffer ad alta gravità, scoperta da Jan Vojtesek di Avast, nel componente WebRTC (Web Real-Time Communications).
Sulla stessa linea, anche Microsoft ha deciso di mantenere un profilo basso. "Questo aggiornamento contiene una correzione per CVE-2022-2294, che il team di Chromium ha segnalato come un exploit in the wild", ha affermato la società nel registro delle patch.
La versione di Edge che ha riempito il buco è 103.0.1264.48 e gli utenti sono invitati ad aggiornare immediatamente, nel caso in cui il browser non si aggiorni automaticamente.
Per assicurarti di utilizzare la versione più recente del browser, apri il menu e vai su Guida e feedback > Informazioni su Microsoft Edge.
Attraverso Neowin (si apre in una nuova scheda)
