Utenti Chrome in allerta: Google corregge un grave 0Day sfruttato in attacchi attivi

Google ha sviluppato aggiornamenti di sicurezza per il browser Web Chrome per risolvere un difetto zero-day che è sfruttato in attacchi attivi.

La vulnerabilità assegnata è il CVE-2023-7024 , descritto come un heap buffer overflow nel framework WebRTC che potrebbe essere sfruttato per provocare arresti o esecuzione di codice arbitrario.

Clément Lecigne e Vlad Stolyarov sono i ricercatori del Threat Analysis Group (TAG) che hanno individuato le falle di sicurezza, attribuite il 19 dicembre 2023.

Dato che WebRTC è un progetto open source e che è supportato anche da Mozilla Firefox e Apple Safari, al momento non è chiaro se il difetto abbia qualche ripercussione sui browser basati su Chromium.

Di seguito la lista dei bug riconosciuti:

• CVE-2023-2033 (punteggio CVSS: 8,8) – type confusion in V8
• CVE-2023-2136 (punteggio CVSS: 9,6) – integer overflow su Skia
• CVE-2023-3079 (punteggio CVSS: 8,8) – type confusion in V8
• CVE-2023-4762 (punteggio CVSS: 8,8) – type confusion in V8
• CVE-2023-4863 (punteggio CVSS: 8,8) – heap buffer overflow in WebP
• CVE-2023-5217 (punteggio CVSS: 8,8) – buffer overflow nella codifica vp8 in libvpx
• CVE-2023-6345 (punteggio CVSS: 9,6) – integer overflow su Skia

Questo sviluppo segna la risoluzione dell’ottavo zero-day attivamente sfruttato in Chrome dall’inizio dell’anno.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks