Google ha pubblicato un aggiornamento di sicurezza per il suo browser web Chrome, che risolve nove vulnerabilità del browser. L’aggiornamento riguarda le versioni Chrome Stable e Chrome Extended Stable, e non apporta altre modifiche al browser.
Chi usa Chrome dovrebbe aggiornare il browser al più presto. Chrome ha la funzione di update automatico, ma a a volte l’aggiornamento non è così tempestivo.
Come aggiornare Google Chrome
Per aggiornare subito il browser, basta aprire chrome://settings/help nella barra degli indirizzi. Chrome mostra la versione del browser e controlla se ci sono aggiornamenti disponibili. Se trova un update, lo scarica e lo installa in automatico. Per completare il processo, è necessario riavviare il browser.
L’aggiornamento è valido per tutte le versioni desktop di Chrome e per Chrome per Android. Dopo aver aggiornato il browser, si dovrebbe vedere una delle seguenti versioni:
- Chrome for macOS, Linux or Windows: 120.0.6099.109
- Chrome Extended for macOS and Windows: 120.0.6099.109
Google ha lanciato Chrome 120 (versione stabile) la settimana scorsa. Oltre alle correzioni di sicurezza, Chrome 120 ha portato alcune novità. Tra queste, la fine del supporto per i dispositivi Android 7 Nougat, una nuova funzionalità di verifica della sicurezza, l’invio di segnali basati su URL per il servizio di suggerimento delle autorizzazioni del browser e la possibilità di condividere le password con altri membri di un account del Gruppo Famiglia.
Quali sono le vulnerabilità risolte dall’aggiornamento
L’aggiornamento di sicurezza di Chrome risolve nove vulnerabilità del browser. Sei di queste sono state segnalate da fonti esterne e sono elencate sul sito ufficiale dei rilasci di Chrome. Le altre tre sono state scoperte da Google internamente e non sono state rese pubbliche.
Queste sono le vulnerabilità segnalate sul blog:
- [$16000][1501326] High CVE-2023-6702: Type Confusion in V8. Reported by Zhiyi Zhang and Zhunki from Codesafe Team of Legendsec at Qi’anxin Group on 2023-11-10
- [$7000][1502102] High CVE-2023-6703: Use after free in Blink. Reported by Cassidy Kim(@cassidy6564) on 2023-11-14
- [$7000][1504792] High CVE-2023-6704: Use after free in libavif. Reported by Fudan University on 2023-11-23
- [$7000][1505708] High CVE-2023-6705: Use after free in WebRTC. Reported by Cassidy Kim(@cassidy6564) on 2023-11-28
- [$6000][1500921] High CVE-2023-6706: Use after free in FedCM. Reported by anonymous on 2023-11-09
- [$7000][1504036] Medium CVE-2023-6707: Use after free in CSS. Reported by @ginggilBesel on 2023-11-21
Tutte le vulnerabilità, tranne una, hanno un livello di gravità alto, il secondo più alto dopo quello critico. La maggior parte delle patch riguarda le vulnerabilità di use after free in vari componenti, tra cui WebRTC, libavif e CSS. C’è anche una single type confusion nel problema V8 elencato.
Google non ha detto se ci sono exploit in circolazione che sfruttano queste vulnerabilità. Questo significa che Google non sa se qualcuno sta attaccando il browser usando queste vulnerabilità. C’è però la possibilità che qualcuno crei degli exploit dopo l’uscita dell’aggiornamento, e questo è un altro motivo per aggiornare Chrome al più presto.