Negli scorsi giorni Google ha rilasciato una nuova versione stabile di Chrome, la 2.0.172.43, che risolve tre vulnerabilità, di cui una classificata con il massimo grado di pericolosità.
Come spiegato in questo post , la vulnerabilità più seria riguarda il celebre motore JavaScript V8 di Chrome, e potrebbe consentire ad uno script maligno incorporato in una pagina web di aggirare i controlli di sicurezza e leggere aree non autorizzate della memoria.
Un malintenzionato potrebbe sfruttare questa debolezza per ottenere informazioni sensibili, come numeri di carta di credito e altri dati personali, o per eseguire del codice a sua scelta. Sebbene un exploit che sfrutti il bug debba necessariamente girare all’interno della sandbox di Chrome, e non possa dunque accedere direttamente alle risorse del sistema, Google spiega che i cracker potrebbero indurre l’utente a compiere azioni capaci di annullare o indebolire tale forma di protezione.
Google ha fatto sapere che fornirà maggiori dettagli sulla falla “quando la maggior parte degli utenti avrà aggiornato il proprio browser”. Come noto, Chrome si aggiorna in modo automatico senza alcun intervento da parte dell’utente.
Ha destato molta curiosità il fatto che BigG abbia attribuito la scoperta di tale vulnerabilità al team di sicurezza di Mozilla. Perché mai, si sono chiesti in molti, Mozilla dovrebbe andare a snidare bachi in un browser rivale? La risposta più probabile, secondo BetaNews , è che Mozilla o Google abbiano verificato se Chrome fosse vulnerabile ad un bug corretto di recente in Firefox: non è infatti infrequente che certe debolezze, soprattutto se legate all’implementazione di specifiche standard o componenti open source, affliggano browser di produttori differenti.
Altre due vulnerabilità ( CVE-2009-2414 e CVE-2009-2416 ) interessano la libreria libxml2 . Seppure classificate con un livello di rischio moderato, esiste il rischio che possano essere utilizzate per causare il crash di un tab di Chrome ed eseguire del codice HTML all’interno della sandbox del browser. Un aggressore potrebbe sfruttare le due debolezze creando un file XML ad hoc e includendolo in un sito web sotto il proprio controllo.
In aggiunta a ciò, Google ha rivisto il modo in cui Chrome elabora i certificati SSL: d’ora in avanti il browser impedirà la connessione a siti che utilizzino certificati firmati con gli algoritmi di hashing MD2 e MD4, ritenuti dagli esperti poco sicuri e passibili di attacchi di spoofing.
L’ultima versione stabile di Google Chrome può essere scaricata da qui .
Nel frattempo lo staff di Google sta lavorando in parallelo anche alle versioni 3.0 e 4.0 di Chrome, rispettivamente scaricabili dal canale beta e dev .
Alessandro Del Rosso