Google ha risolto 28 vulnerabilità rilasciando l’aggiornamento 100.0.4896.60 per il suo browser Chrome. Almeno 9 di loro hanno una valutazione di alta gravità, aggiungendosi a CVE-2022-1096, un’altra vulnerabilità di alta gravità che Google ha rilasciato delle patch con un aggiornamento separato solo pochi giorni fa. Quindi, in totale, gli sviluppatori di Chrome hanno rilasciato patch per 10 vulnerabilità di alta gravità in meno di una settimana. In altre parole, se non avete riavviato il vostro computer per un po’ di tempo o non avete riavviato il vostro browser di recente, allora è il momento di aggiornare.
Vulnerabilità CVE-2022-1096
Finora Google non ha pubblicato dettagli su nessuna delle vulnerabilità, come da politica di sicurezza dell’azienda, l’accesso a una descrizione dettagliata dei bug rimane limitato fino a quando la maggior parte degli utenti attivi aggiorna il proprio browser. Ma è già chiaro che è la vulnerabilità CVE-2022-1096 (quella che Google ha chiuso con una patch separata venerdì 25 marzo, solo quattro giorni prima del grande aggiornamento) che può causare problemi reali.
CVE-2022-1096 appartiene alla classe Type Confusion, il che significa che è collegato a qualche errore nella gestione dei tipi di dati nel motore V8. La vulnerabilità è piuttosto pericolosa, a giudicare dal fatto che Google ha affrontato questo bug separatamente con una patch di emergenza. Inoltre, secondo le note di rilascio della patch, Google era consapevole che un exploit per questa vulnerabilità esisteva già il 25 marzo. Il giorno dopo, Microsoft ha risolto la stessa vulnerabilità nel suo browser Edge basato su Chromium. Riassumendo le informazioni disponibili, è ragionevole supporre che un exploit per la vulnerabilità non solo esiste, ma è attivamente utilizzato dai criminali informatici.
Altre 28 nuove vulnerabilità
Delle 28 vulnerabilità che affronta l’ultimo aggiornamento, la maggior parte (20) sono state scoperte da ricercatori indipendenti, e le restanti otto da esperti interni di Google. Delle nove vulnerabilità con un alto livello di gravità, quattro (CVE-2022-1125, CVE-2022-1127, CVE-2022-1131, CVE-2022-1133) appartengono alla classe use-after-free; altre tre (CVE-2022-1128, CVE-2022-1129, CVE-2022-1132) sono legate a implementazioni inappropriate in vari componenti, un’altra (CVE-2022-1130) ha a che fare con una convalida insufficiente di input non fidati in WebOTP e la rimanente (CVE-2022-1134), come il già citato CVE-2022-1096, è un problema di Type Confusion nel motore V8.
Come rimanere al sicuro?
Per prima cosa, dovete aggiornare il vostro browser all’ultima versione, al momento di questo articolo, è la 100.0.4896.60. Se la vostra versione di Chrome è più vecchia, significa che il vostro browser non è stato aggiornato automaticamente e vi consigliamo di aggiornarlo manualmente usando le nostre istruzioni passo dopo passo. Se usate Microsoft Edge, non dimenticatevi di aggiornare anche lui, questo viene fatto nello stesso modo di Google Chrome.
Vi raccomandiamo anche di seguire le notizie e aggiornare tempestivamente i programmi più critici, comprese le soluzioni di sicurezza, i browser, office suite e il sistema operativo stesso.
Inoltre, vi consigliamo di utilizzare soluzioni di sicurezza affidabili che possono rilevare automaticamente e prevenire i tentativi di sfruttare le vulnerabilità, in modo da potervi proteggere dagli attacchi anche prima del rilascio delle patch ufficiali.