Ancora una volta Google Chrome è stato colpito da una vulnerabilità. Ad averla scovata sono stati i ricercatori di sicurezza informatica Ashley Shen e Christian Ressell di Google Threat Analysis Group. Questa falla risale al 19 luglio 2022.
Tuttavia, solo martedì 16 agosto 2022 Google Chrome ha annunciato, in una nota ufficiale, di aver rilasciato un “aggiornamento stabile del canale per desktop“. Perciò, è indispensabile che chi utilizza questo browser esegua l’aggiornamento alla nuova versione il prima possibile.
Google – si legge nella nota ufficiale – è consapevole dell’esistenza di un exploit per CVE-2022-2856 in natura.
Vorremmo anche ringraziare tutti i ricercatori di sicurezza che hanno lavorato con noi durante il ciclo di sviluppo per evitare che i bug di sicurezza raggiungessero il canale stabile.
Come al solito, il nostro continuo lavoro di sicurezza interna è stato responsabile di un’ampia gamma di correzioni.
È ormai risaputo che situazioni simili sono sempre più frequenti e che, dopo aver rilevato una falla, spesso gli aggiornamenti di Google Chrome arrivano dopo diverse settimane. Ciò dimostra che tenere regolarmente aggiornato il nostro browser non basta, occorre fare di più.
Google Chrome: come difendersi dalle vulnerabilità Zero-Day
Non abbiamo molti dettagli in merito alla recente vulnerabilità Zero-Day scoperta dai due ricercatori in merito a Google Chrome. Come solitamente accade, il colosso di Mountain View non ha condiviso molto su questa falla, nemmeno dopo che la maggior parte degli utenti ha aggiornato il browser.
L’attuale aggiornamento include 11 correzioni di sicurezza. Sul documento ufficiale pubblicato da Google, martedì 16 agosto 2022, sono state elencate secondo le correzioni apportate dai ricercatori esterni di sicurezza informatica:
- CVE-2022-2852 critico: utilizzare gratuitamente in FedCM. Segnalato da Sergei Glazunov di Google Project Zero il 2022-08-02;
- CVE-2022-2854 elevato: da utilizzare gratuitamente in SwiftShader. Segnalato da Cassidy Kim di Amber Security Lab, OPPO Mobile Telecommunications Corp. Ltd. il 18-06-2022;
- CVE-2022-2855 elevato: da utilizzare gratuitamente in ANGLE. Segnalato da Cassidy Kim di Amber Security Lab, OPPO Mobile Telecommunications Corp. Ltd. il 16-07-2022;
- CVE-2022-2857 elevato: utilizzare gratuitamente in Blink. Segnalato da Anonymous il 21-06-2022;
- CVE-2022-2858 elevato: utilizzare dopo il flusso di accesso gratuito. Segnalato da raven al laboratorio KunLun il 05-07-2022;
- CVE-2022-2853 alto: overflow del buffer dell’heap nei download. Segnalato da Sergei Glazunov di Google Project Zero il 04-08-2022;
- CVE-2022-2856 elevato: convalida insufficiente di input non attendibili negli intenti. Segnalato da Ashley Shen e Christian Resell di Google Threat Analysis Group il 2022-07-19;
- CVE-2022-2859 medio: utilizzare gratuitamente in Chrome OS Shell. Segnalato da Nan Wang(@eternalsakura13) e Guang Gong di 360 Alpha Lab il 22-06-2022;
- CVE-2022-2860 medio: applicazione dei criteri insufficiente nei cookie. Segnalato da Axel Chong il 18-07-2022;
- CVE-2022-2861 medio: implementazione inappropriata nell’API Extensions. Segnalato da Rong Jian di VRI il 21-07-2022.
Per difendersi da simili vulnerabilità e scongiurare attacchi malevoli, come Emotet che ruba i dati delle carte di credito su Google Chrome, è necessario attivare una protezione a 360°. Puoi farlo acquistando uno dei pacchetti disponibili di AVG. Questo speciale antivirus include anche una potente VPN e protezione contro malware e altri virus anche per dispositivi mobili.
