Solo due giorni fa era stata avviata la distribuzione di Chrome 88 per Windows, macOS e Linux. Ora Google ha rilasciato la versione 88.0.4324.150 che risolve una vulnerabilità zero-day che potrebbe essere sfruttata per eseguire codice arbitrario sul computer degli utenti.
Vulnerabilità nel motore JavaScript
Il bug etichettato come CVE-2021-21148 è stato segnalato dal ricercatore Mattias Buelens lo scorso 24 gennaio. Google non ha fornito i dettagli perché aspetta che la maggioranza degli utenti effettuino l’aggiornamento del browser. Non verrà divulgata nessuna informazione nemmeno se il problema è ancora presente nelle librerie di terze parti.
Considerata la data della segnalazione, gli esperti ipotizzano che la vulnerabilità “heap buffer overflow” in V8 (motore JavaScript open source usato in Chrome) sia stata sfruttata da un gruppo (ZINC) di cybercriminali, legati al governo nordcoreano, per eseguire attacchi contro alcuni ricercatori di sicurezza.
A fine gennaio, Microsoft aveva indicato proprio una vulnerabilità nel motore JavaScript di Chrome come veicolo per l’esecuzione degli attacchi informatici. Il buffer overflow è uno degli errori di programmazione più utilizzati per eseguire codice infetto sul computer delle vittime.
Nei prossimi giorni potrebbero essere comunicati i dettagli della vulnerabilità. In ogni caso è sempre consigliato aggiornare Chrome all’ultima versione. L’operazione viene eseguita automaticamente, ma può essere forzata manualmente nelle impostazioni, cliccando sulla voce Guida e quindi selezionando Informazioni su Google Chrome.