Google ha rilasciato una nuova versione del browser che include la patch per una vulnerabilità zero-day. Chrome 112.0.5615.121 per Windows, macOS e Linux può essere scaricato e installato automaticamente attraverso la funzionalità presente nelle impostazioni. Anche Microsoft ha corretto il bug in Edge 112.0.1722.48 (basato su Chromium).
Patch di emergenza per Google Chrome
La vulnerabilità, indicata con CVE-2023-2033, è stata segnalata l’11 aprile scorso da Clément Lecigne del Threat Analysis Group di Google. In dettaglio si tratta di un bug “type confusion” presente nel motore JavaScript V8. Questo problema di sicurezza nasce quando viene allocata o inizializzata una risorsa (ad esempio un puntatore o una variabile) con un tipo di oggetto e successivamente viene passato un tipo differente.
Se non viene verificato il tipo di oggetto, i cybercriminali possono sfruttare il bug per eseguire codice arbitrario, tra cui i malware. Google non ha pubblicato i dettagli della vulnerabilità zero-day, in quanto sono stati rilevati exploit (attacchi in corso). Tutte le informazioni verranno divulgate quando la maggioranza degli utenti avrà installato la versione aggiornata del browser.
Questa è la prima vulnerabilità zero-day individuata in Chrome dall’inizio dell’anno. Nel 2022 sono state invece corrette nove vulnerabilità zero-day. Come detto, anche gli utenti che usano Microsoft Edge devono installare l’ultima versione, in quanto il browser è basato sullo stesso codice (Chromium). Lo stesso consiglio è valido per Opera, Brave e Vivaldi.