Google ha confermato che il recente aggiornamento di Chrome va a correggere un bug di sicurezza zero-day nel popolare browser (un exploit che era attivamente utilizzato negli attacchi) e ha raccomandato a tutti gli utenti di aggiornare il prima possibile.
Lo scorso 1 Marzo è stata rilasciata una patch per Chrome che consiste in una correzione di un errore di sicurezza, identificato come CVE-2019-5786. L’aggiornamento, che ha risolto il problema senza apportare altre modifiche al browser, ha portato Chrome alla versione 72.0.3626121.
L’errore di sicurezza riguardava tutte le versioni desktop di Chrome, anche se era principalmente collegato agli utenti di Windows, in quanto faceva parte di un attacco più complesso contro Windows 7. I problemi potevano verificarsi anche su macOS.
Justin Schuh, a capo di Google Chrome Security, ha postato su Twitter consigliando di aggiornare il browser per andare a risolvere anche l’exploit conosciuto come “exists in the wild“.
Also, seriously, update your Chrome installs… like right this minute. #PSA
— Justin Schuh ? (@justinschuh) March 6, 2019
Il problema si trova in un errore di gestione della memoria per l’API FileReader di Chrome, che consente alle Web app di leggere i file locali su un desktop. In particolare, si tratta di un errore di memoria noto come vulnerabilità “use-after-free“, che si verifica quando una Web app tenta di accedere alla memoria che è stata liberata o eliminata dalla memoria allocata di Chrome, con il bug che consente l’esecuzione di codice dannoso.
Google Chrome per iOS non è affetto da questo problema di sicurezza.