Google ha rilasciato un nuovo aggiornamento di sicurezza per il suo browser web Chrome che sta risolvendo diverse vulnerabilità di sicurezza nel browser. Una delle vulnerabilità della sicurezza viene sfruttata allo stato brado, un’altra ha ricevuto il livello di gravità più alto di critico.
L’aggiornamento viene distribuito a tutte le installazioni di Chrome in tutto il mondo. Potrebbero volerci del tempo, giorni o addirittura settimane, prima che gli aggiornamenti diventino disponibili tramite la funzione di aggiornamento automatico del browser Chrome.
Gli utenti desktop possono eseguire controlli manuali per gli aggiornamenti per proteggere immediatamente le installazioni del browser.
Seleziona Menu > Guida > Informazioni su Google Chrome o carica chrome://settings/help per aprire la pagina di aggiornamento. Chrome visualizza la versione installata, esegue un controllo per gli aggiornamenti e scaricherà e installerà qualsiasi nuova versione del browser che trova.
La versione desktop completamente aggiornata è 96.0.4664.110. Gli utenti Android non possono forzare un controllo manuale del browser sui propri dispositivi, poiché questo è gestito esclusivamente da Google Play.
Le vulnerabilità
Google elenca cinque vulnerabilità risolte dall’aggiornamento di Chrome sul blog ufficiale delle versioni:
- [$NA][1263457] Critico CVE-2021-4098: convalida dei dati insufficiente in Mojo. Segnalato da Sergei Glazunov di Google Project Zero il 2021-10-26
- [$5000][1270658] High CVE-2021-4099: da usare dopo gratis in Swiftshader. Segnalato da Aki Helin di Solita il 2021-11-16
- [$5000][1272068] CVE-2021-4100 alto: problema del ciclo di vita dell’oggetto in ANGLE. Segnalato da Aki Helin di Solita il 2021-11-19
- [$TBD][1262080] CVE-2021-4101 alto: overflow del buffer heap in Swiftshader. Segnalato da Abraruddin Khan e Omair il 2021-10-21
- [$TBD][1278387] High CVE-2021-4102: da usare dopo gratis in V8. Segnalato da Anonymous il 2021-12-09
La vulnerabilità con l’ID CVE-2021-4102 è sfruttata allo stato brado secondo Google. Il problema di sicurezza sfrutta un utente gratuitamente nel motore JavaScript V8 di Chrome. Le vulnerabilità Use after free possono spesso essere sfruttate per eseguire codice arbitrario sui computer di destinazione. La portata degli attacchi che sfruttano la vulnerabilità non è stata rivelata da Google.
Si consiglia agli utenti di Chrome di aggiornare i propri browser il prima possibile per proteggerli da potenziali attacchi.
Google ha rilasciato un aggiornamento di sicurezza per Chrome 96 proprio la scorsa settimana . La società ha corretto 16 vulnerabilità Zero-day in Chrome nel 2021. Anche altri produttori di browser basati su Chromium potrebbero rilasciare aggiornamenti di sicurezza per i loro prodotti per risolvere questi problemi.
