Google rilascia l’hotfix per Chrome per correggere l’exploit degli attacchi

Google rilascia l’hotfix per Chrome per correggere l’exploit degli attacchi

Google ha aggiornato Chrome alla versione 96.0.4664.110 per Windows, Mac e Linux su un canale stabile a causa di una vulnerabilità zero-day altamente sicura che l’azienda ha confermato essere sfruttata in natura. Secondo l’annuncio, l’aggiornamento potrebbe richiedere del tempo per raggiungere tutti, ma siamo stati in grado di ottenere subito l’aggiornamento sul nostro sistema di test.

L’aggiornamento contiene cinque correzioni, che puoi vedere di seguito, insieme alla corrispondente ricompensa per la divulgazione.

  • [$ NA] [ 1263457 ] Critico CVE-2021-4098: convalida dei dati insufficiente in Mojo. Lo ha annunciato Sergey Glazunov di Google Project Zero, 2021-10-26
  • [$ 5000] [ 1270658 ] High CVE-2021-4099: utilizzare dopo l’uso gratuito in Swiftshader. Segnalato da Aki Helin di Solita il 16 novembre 2021.
  • [$ 5000] [ 1272068 ] CVE-2021-4100 alto: problema del ciclo di vita dell’oggetto in ANGLE. Segnalato da Aki Helin di Solita 2021-11-19
  • [$ TBD] [ 1262080 ] CVE-2021-4101 alto: overflow del buffer heap in Swiftshader. Questo è stato riportato da Abraruddin Khan e Omayr il 21 ottobre 2021.
  • [$ TBD] [ 1278387 ] Alto CVE-2021-4102: utilizzare dopo l’uso gratuito in V8. Segnalato da Anonymous il 2021-12-09.

Google osserva inoltre che “l’accesso ai dettagli sui bug e ai collegamenti può essere limitato fino a quando la maggior parte degli utenti non aggiorna l’hotfix. Manterremo anche i vincoli se il bug esiste in una libreria di terze parti da cui dipendono altri progetti in modo simile, ma non “t ancora risolto”. che probabilmente si riferisce a CVE-2021-4102 e, secondo il gigante della ricerca, è già attivamente sfruttato in natura.

Questa è la sedicesima vulnerabilità zero-day che l’azienda ha corretto quest’anno, il che non è raro, secondo Bleeping Computer, che per primo se ne è accorto. I restanti 15 zero giorni, corretti nel 2021, sono elencati di seguito:

  • CVE-2021-21148 – 4 febbraio
  • CVE-2021-21166 – 2 marzo
  • CVE-2021-21193 – 12 marzo
  • CVE-2021-21220 – 13 aprile
  • CVE-2021-21224 – 20 aprile
  • CVE-2021-30551 – 9 giugno
  • CVE-2021-30554 – 17 giugno
  • CVE-2021-30563 – 15 luglio
  • CVE-2021-30632 e CVE-2021-30633 – 13 settembre.
  • CVE-2021-37973 – 24 settembre
  • CVE-2021-37976 e CVE-2021-37975 – 30 settembre.
  • CVE-2021-38000 e CVE-2021-38003 – 28 ottobre

Potresti anche ricordare che quando Chrome 96 è stato rilasciato il mese scorso, è stato scoperto che Chrome 97 non sarebbe stato spedito fino alla prima settimana di gennaio, il che rende ancora più importante l’applicazione di patch alla versione corrente.

Puoi verificare se è disponibile un aggiornamento accedendo al menu Chrome > Guida > Informazioni su Google Chrome. Il browser verificherà automaticamente anche gli ultimi aggiornamenti e, se disponibile, installerà e fornirà un’opzione di riavvio, dopodiché verrà applicato l’aggiornamento.

Fonte: Google tramite Bleeping Computer

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *