Secondo quanto appreso attraverso un avviso emesso da Google, i fruitori del browser Chrome dovrebbero procedere ad un urgente aggiornamento del loro programma di navigazione preferito, al fine di prevenire eventuali problematiche legate ad una vulnerabilità zero-day classificata come di elevata gravità.
Un bug zero-day di elevata pericolosità
Il bug è stato identificato da Clément Lecigne, ricercatore del Threat Analysis Group di Google, che l’ha descritta come "Use-after-free in Animation". Il bug, classificato come CVE-2022-0609, è di tipo buffer-overflow e consentirebbe l’esecuzione arbitraria di codice malevolo sul computer della vittima, bypassando i sistemi di sicurezza integrati in Chrome. Per questo motivo l’aggiornamento deve essere considerato assolutamente urgente.
Al momento non si conoscono altri dettagli sulla problematica: la politica di Google, infatti, prevede la massima riservatezza sulle problematiche riscontrate sino al momento della loro risoluzione. Per conoscere ulteriori dettagli su questo bug, quindi, sarà necessario attendere che buona parte degli utenti di Google Chrome abbia effettuato l’aggiornamento del software. L’unica cosa certa è che, secondo alcune indiscrezioni, la falla 0-day sarebbe già stata utilizzata per scopi malevoli.
Ad oggi CVE-2022-0609 rappresenta la prima falla di tipo 0-day corretta da Google nel 2022. Lo scorso anno le falle 0-day identificate e corrette da Big G furono ben 16.
Come aggiornare Chrome
A fronte della nuova e pericolosa minaccia gli utenti di Windows, Mac e Linux sono stati invitati ad installare quanto prima la distribuzione Chrome 98.0.4758.102. L’aggiornamento dovrebbe essere automatico ma qualora così non fosse sarà possibile "forzarlo": per farlo sarà sufficiente accedere al menu del browser e selezionare il percorso Chrome > Informazioni su Google Chrome. Così facendo la finestra mostrerà l’eventuale presenza di aggiornamenti disponibili pianificandone l’installazione al successivo riavvio.
L’aggiornamento 98.0.4758.102 non si limita a "mettere una pezza" alla falla CVE-2022-0609 ma provede anche alla risoluzione di altre 7 falle di sicurezza classificate come di minore entità.