Il colosso di Mountain View ha da poco provveduto a correggere una nuova vulnerabilità ritenuta di gravità elevata individuata nel browser Google Chrome, sfruttata attivamente negli attacchi dall’inizio dell’anno. Dopo quella di settembre scorso, si tratta della quinta falla di tipo zero day dall’inizio del 2023.
Google Chrome: corretta la falla CVE-2023-5217
La vulnerabilità viene risolta con l’installazione degli ultimi aggiornamenti di Google Chrome per Windows, macOS e Linux che portano il browser alla realse 117.0.5938.132 nel canale Stable Desktop. Il browser web effettuare automaticamente la ricerca di nuovi aggiornamenti e li installerà al successivo riavvio senza richiedere alcun intervento da parte dell’utente.
La vulnerabilità interessata è quella siglata come CVE-2023-5217 ed è causata da una debolezza di overflow del buffer heap nella codifica VP8 della libreria di codec video libvpx open source, un difetto il cui impatto va dai crash dell’app all’esecuzione di codice arbitrario.
Il bug è stato segnalato da Clément Lecigne, ricercatore di sicurezza del Google Threat Analysis Group (TAG), lunedì 25 settembre. Da poco, invece, Maddie Stone, ricercatrice di Google, ha rivelato che la vulnerabilità è stata sfruttata per installare spyware.
Nonostante ciò, “big G” non ha ancora condiviso ulteriori informazioni riguardo la falla. “L’accesso ai dettagli dei bug e ai link può essere mantenuto limitato fino a quando la maggior parte degli utenti non viene aggiornata con una correzione” ha detto Google. “Manterremo anche le restrizioni se il bug esiste in una libreria di terze parti da cui altri progetti dipendono allo stesso modo, ma non hanno ancora risolto” ha aggiunto.