Google Chrome, aggiornamento di emergenza in distribuzione

Nelle scorse ore Google ha rilasciato un aggiornamento di emergenza per Chrome che corregge ben 33 vulnerabilità, tra cui sette critiche, che potrebbero portare all’esecuzione di codice non autorizzato da remoto. Le nuove versioni del browser sono 149.0.7827.155 o 149.0.7827.156, e sono in distribuzione su Windows, macOS e Linux; per la maggior parte degli utenti si installeranno in automatico, come al solito, ma vista la gravità è consigliato accertarsene, usando il menu dei tre puntini in alto a destra e scegliendo Informazioni su Google Chrome.

La maggior parte delle falle critiche (sei su sette, addirittura) consistono in bug di gestione della memoria noti come “use-after-free”. Semplificando molto, un exploit potrebbe indurre il browser a usare aree di memoria che in teoria sarebbero già liberate, eseguendo codice non autorizzato che potrebbe causare danni in altre aree del sistema operativo. I bug sono stati rilevati in vari componenti fondamentali di Chrome, tra cui WebShare, WebView, Digital Credentials, Password Manager, File Input e Web Authentication. È particolarmente interessante osservare la tempestività con cui Google è intervenuta: tutti i bug sono stati riportati tra la fine di maggio e l’inizio di giugno - il più recente solo una settimana fa.

Google ha inoltre corretto svariati bug con un livello di gravità “solo” alto che coinvolgono WebRTC, il sistema dedicato alle comunicazioni audio e video in tempo reale, il framework delle estensioni e la piattaforma Chromoting dedicata all’accesso remoto. Tra i bug risolti figurano buffer overflow, letture fuori dai limiti di memoria, errori di validazione degli input e condizioni di race condition che potrebbero causare crash, perdite di dati sensibili o ulteriori compromissioni del sistema.

CLICCA QUI PER CONTINUARE A LEGGERE