Google ha da poco rilasciato un nuovo aggiornamento per Chrome per i sistemi operativi Windows, macOS e Linux, portando il browser alla versione 96.0.4664.110. Il motivo dell’update, però, non è da ricercare nell’implementazione di nuove funzioni, ma nella risoluzione di una grave vulnerabilità zero-day, quindi già sfruttata dai malintenzionati.
Google Chrome: corretta la falla CVE-2021-4102
La falla corretta con l’update è quella siglata come CVE-2021-4102, è stata segnalata a Google da un ricercatore di sicurezza anonimo e si origina da una vulnerabilità Use-After-Free (UAF) (uso scorretto della memoria) nel motore JavaScript V8. Un exploit del genere, tra l’altro pure abbastanza comune, può permettere ad eventuali malintenzionati di eseguire del codice arbitrario e, dunque, di prodigarsi nel sottrarre dati sensibili all’utente preso di mira.
Sebbene “big G” abbia affermato di aver rilevato diversi attacchi che hanno sfruttato la falla in questione, al momento non ha condiviso maggiori informazioni al riguardo. Sul bollettino sulla sicurezza diffuso dall’azienda di Mountain View si legge infatti “Google è a conoscenza di report sul fatto che un exploit per CVE-2021-4102 è in circolazione”. Da notare, inoltre, che quella in questione è la diciassettesima vulnerabilità zero-day di Google Chrome da inizio anno.
Gli aggiornamenti disponibili per Google Chrome vengono scaricati e installati in modo del tutto automatico, ma considerando la gravità della situazione e, dunque, la necessità di eseguire quest’update quando prima, è consigliabile forzare “manualmente” la procedura. Per riuscirci, è sufficiente accedere al menu del navigatore situato in alto a destra nella sua finestra, selezionare la voce Guida, quindi quella Informazioni su Google Chrome e attendere che il programma controlli la presenza degli aggiornamenti e proceda con l’installazione degli stessi dopo il riavvio.