Riavvialo ancora! Google corregge 20 bug di sicurezza nel Browser Chrome

Redazione RHC : 11 Ottobre 2023 16:47

Se utilizzi Google Chrome, dovresti sederti e prestare un minuto di attenzione. Google ha appena lanciato un avviso su una vulnerabilità critica nascosta nella funzione di isolamento dei siti di Chrome. Questo bug non è solo un altro difetto di sicurezza comune; è un bug che potrebbe consentire agli aggressori di ottenere il controllo completo eseguendo del codice arbitrario (RCE).

Sebbene Google non fornisca dettagli sul CVE-2023-5218, i bug use-after-free nell’isolamento del sito possono in genere consentire agli aggressori di eseguire un’escape sandbox tramite una pagina HTML predisposta, che potrebbe potenzialmente consentire loro di eseguire codice arbitrario.

Gli utenti i cui account sono configurati per avere meno diritti sul sistema potrebbero essere meno colpiti rispetto a quelli che operano con diritti utente amministrativi.

Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference.  Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.  Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.  Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Al momento non ci sono segnalazioni di queste vulnerabilità sfruttate in attacchi reali, ma il pacchetto diffuso da Google contiene 20 vulnerabilità aggiornate:

• [1487110] Critical CVE-2023-5218: Use after free in Site Isolation. Reported by @18楼梦想改造家 on 2023-09-27
• [1062251] Medium CVE-2023-5487: Inappropriate implementation in Fullscreen. Reported by Anonymous on 2020-03-17
• [1414936] Medium CVE-2023-5484: Inappropriate implementation in Navigation. Reported by Thomas Orlita on 2023-02-11
• [1476952] Medium CVE-2023-5475: Inappropriate implementation in DevTools. Reported by Axel Chong on 2023-08-30
• [1425355] Medium CVE-2023-5483: Inappropriate implementation in Intents. Reported by Axel Chong on 2023-03-17
• [1458934] Medium CVE-2023-5481: Inappropriate implementation in Downloads. Reported by Om Apip on 2023-06-28
• [1474253] Medium CVE-2023-5476: Use after free in Blink History. Reported by Yunqin Sun on 2023-08-20
• [1483194] Medium CVE-2023-5474: Heap buffer overflow in PDF. Reported by [pwn2car] on 2023-09-15
• [1471253] Medium CVE-2023-5479: Inappropriate implementation in Extensions API. Reported by Axel Chong on 2023-08-09
• [1395164] Low CVE-2023-5485: Inappropriate implementation in Autofill. Reported by Ahmed ElMasry on 2022-12-02
• [1472404] Low CVE-2023-5478: Inappropriate implementation in Autofill. Reported by Ahmed ElMasry on 2023-08-12
• [1472558] Low CVE-2023-5477: Inappropriate implementation in Installer. Reported by Bahaa Naamneh of Crosspoint Labs on 2023-08-13
• [1357442] Low CVE-2023-5486: Inappropriate implementation in Input. Reported by Hafiizh on 2022-08-29
• [1484000] Low CVE-2023-5473: Use after free in Cast. Reported by DarkNavy on 2023-09-18

Chrome 118 risolve inoltre otto difetti di media gravità segnalati da ricercatori esterni, sei dei quali sono problemi di implementazione inappropriata nelle API a schermo intero, navigazione, DevTools, intenti, download ed estensioni.

Raccomandazioni per un utilizzo sicuro del browser Chrome:

• Applicare gli aggiornamenti appropriati forniti da Google ai sistemi vulnerabili immediatamente dopo i test appropriati;
• Stabilire e mantenere un processo documentato di gestione delle vulnerabilità per le risorse aziendali. Rivedere e aggiornare la documentazione ogni anno o quando si verificano cambiamenti aziendali significativi che potrebbero influire su questo processo;
• Eseguire gli aggiornamenti delle applicazioni sulle risorse aziendali tramite una gestione automatizzata delle patch su base mensile o più frequente;
• Garantire che solo i browser e i client di posta elettronica completamente supportati possano essere utilizzati in azienda, rendendo disponibile solo la versione più recente dei browser e dei client di posta elettronica disponibili;
• Applicare il principio del privilegio minimo a tutti i sistemi e servizi. Eseguire tutto il software come utente non privilegiato (senza privilegi amministrativi) per ridurre gli effetti di un attacco riuscito;
• Gestire in maniera centralizzata gli account come root, Administratore e altri account amministrativi. Le implementazioni di esempio possono includere: disabilitare gli account predefiniti o renderli inutilizzabili;
• Limitare i privilegi di amministratore solo agli amministratori dei sistemi. Condurre tutte le attività, come la navigazione in Internet, la posta elettronica utilizzando l’account principale non privilegiato dell’utente;
• Limitare l’esecuzione del codice a un ambiente virtuale o in transito verso un sistema endpoint;
• Utilizzare strumenti per rilevare e bloccare l’esecuzione di un exploit;
• Abilita funzionalità anti-sfruttamento su risorse e software aziendali, ove possibile, come Microsoft® Data Execution Prevention (DEP), Windows® Defender Exploit Guard (WDEG) o Apple® System Integrity Protection ( SIP) e Gatekeeper™;
• Limitare l’uso di determinati siti Web, bloccare download/allegati, bloccare Javascript, limitare le estensioni del browser, ecc;
• Utilizzare i servizi di filtro DNS su tutte le risorse aziendali per bloccare l’accesso a domini dannosi noti;
• Applicare e aggiornare i filtri URL basati sulla rete per impedire a una risorsa aziendale di connettersi a siti Web potenzialmente dannosi o non approvati. Le implementazioni di esempio includono il filtraggio basato su categorie, il filtraggio basato sulla reputazione o l’uso di elenchi di blocco. Applica filtri per tutte le risorse aziendali;
• Bloccare i tipi di file non necessari che tentano di accedere al gateway di posta elettronica dell’azienda;
• Informare ed educare gli utenti riguardo alle minacce poste dai collegamenti ipertestuali contenuti nelle e-mail o negli allegati, soprattutto provenienti da fonti non attendibili. Ricordare agli utenti di non visitare siti Web non attendibili o di seguire collegamenti forniti da fonti sconosciute o non attendibili;
• Stabilire e mantenere nel tempo un programma di sensibilizzazione sulla sicurezza informatica. Lo scopo di un programma di sensibilizzazione alla sicurezza è educare la forza lavoro dell’azienda su come interagire con le risorse e i dati aziendali in modo sicuro. Condurre la formazione al momento dell’assunzione e, come minimo, ogni anno. Rivedere e aggiornare i contenuti ogni anno o quando si verificano cambiamenti aziendali significativi che potrebbero influire su questa salvaguardia;
• Formare i membri della forza lavoro a riconoscere gli attacchi di ingegneria sociale, come phishing, pre-invio di messaggi di testo e tailgating ecc…

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli