Vulnerabilità zero-day in Google Chrome, dichiarazione rilasciata da Google
2 minuto. leggere
Edizione del
Condividi questo articolo
Migliora questa guida
Leggi la nostra pagina informativa per scoprire come puoi aiutare MSPoweruser a sostenere il team editoriale Per saperne di più
Google ha rilasciato un aggiornamento di sicurezza di emergenza per risolvere una vulnerabilità critica zero-day nel suo browser web Chrome. La vulnerabilità, CVE-2023-6345, deriva da una debolezza di overflow di numeri interi all'interno della libreria grafica 2D open source Skia.
Ma innanzitutto, cos’è la vulnerabilità zero-day?
Una vulnerabilità zero-day è un tipo di vulnerabilità del software sconosciuta al fornitore del software. Ciò significa che non è ancora disponibile alcuna patch o correzione. Gli aggressori informatici possono sfruttare queste vulnerabilità per ottenere accesso non autorizzato a sistemi o dati all'insaputa del fornitore del software. A causa della loro imprevedibilità, le vulnerabilità zero-day sono il tipo di vulnerabilità più pericolosa.
Per spiegarlo in termini più semplici, immagina il tuo computer come una casa e il software installato su di esso come le serrature di porte e finestre. Una vulnerabilità zero-day è come un buco della serratura nascosto di cui nessuno è a conoscenza. Questo buco della serratura può essere utilizzato dagli aggressori informatici per entrare nel tuo computer senza che nessuno lo sappia.
Gli sviluppatori cercano di correggere queste falle (vulnerabilità) installando patch di sicurezza. Tuttavia, se gli aggressori trovano la serratura prima che lo sviluppatore possa installare la patch, possono facilmente sfruttare la vulnerabilità e ottenere accesso non autorizzato al computer o ai dati.
La vulnerabilità potrebbe consentire agli aggressori di eseguire codice arbitrario sui sistemi interessati, assumendo potenzialmente il controllo dei dispositivi o rubando informazioni personali rivelate da BleepingComputer. Google ha dichiarato che l'accesso ai dettagli della vulnerabilità rimarrà limitato finché la maggior parte degli utenti non avrà aggiornato il proprio browser. Ciò riduce la probabilità che gli autori delle minacce sviluppino exploit basati sulle informazioni tecniche appena rilasciate. Nel frattempo, Google Search Console era inattivo ieri, lanciando l'errore 500 agli utenti.
Google è consapevole che la vulnerabilità viene sfruttata attivamente negli attacchi e raccomanda a tutti gli utenti di aggiornare immediatamente il proprio browser Chrome.
