Redazione RHC : 10 Aprile 2024 07:19
Nel tentativo di migliorare la resistenza di Chrome ai bug di memoria, Google sta aggiungendo la sandbox V8 al suo browser e ora i ricercatori di sicurezza possono utilizzarla per trovare nuove vulnerabilità.
Negli ultimi anni Chrome ha sofferto di problemi di sicurezza della memoria, la maggior parte dei quali erano legati al motore JavaScript V8. Inoltre, nel caso del V8, i soliti mezzi di protezione (utilizzo di meccanismi di sicurezza hardware o passaggio a un linguaggio più sicuro per la memoria, ad esempio Rust), non hanno affatto aiutato.
“Quasi tutte le vulnerabilità trovate e sfruttate oggi nella V8 hanno una cosa in comune: il danneggiamento della memoria si verifica necessariamente all’interno dell’heap V8, poiché il compilatore e il runtime funzionano quasi sempre esclusivamente su istanze HeapObject V8”, afferma Google.
CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC
Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"?
Conosci il nostro corso sul cybersecurity awareness a fumetti?
Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
La nuova sandbox V8 isola la memoria per prevenire la sua corruzione. Poiché non esiste un hardware adatto a questo scopo, Google ha deciso di implementare il Sandbox nel software.
“L’idea di base di un sandbox software è quella di sostituire tutti i tipi di dati che possono accedere alla memoria al di fuori della sandbox. In particolare, devono essere rimossi tutti i puntatori (sia agli oggetti nell’heap V8 che altrove) e le dimensioni a 64 bit, poiché un utente malintenzionato potrebbe corromperli per accedere successivamente ad altre partizioni della memoria”, affermano gli sviluppatori.
Secondo gli esperti, negli scenari di attacco, gli aggressori non saranno in grado di sfuggire alla sandbox e raggiungere altre parti della memoria dove vengono allocati i processi. Quindi dovranno prima bypassare la sandbox V8, il che complicherà notevolmente il compito.
Proposto originariamente nel 2021, il sandboxing per V8 è ora considerato una funzionalità di sicurezza praticabile e Google lo ha già implementato in Chrome 123 a scopo di test. La società ha inoltre aggiunto la sandbox al bug bounty del programma Chrome Vulnerability Rewards in modo che gli sviluppatori e i ricercatori della sicurezza possano identificare difetti e vulnerabilità al suo interno.
Secondo Google, tutti i problemi identificati fino ad oggi sono banali bug di corruzione della memoria che non sono difficili da prevenire o mitigare, a differenza dei bug più gravi tipicamente riscontrati nel V8.
Si rileva inoltre che il sandboxing V8 rappresenta solo l’1% (o meno) del consumo di risorse in carichi di lavoro tipici, il che significa che potrebbe essere abilitato per impostazione predefinita su piattaforme compatibili. Nelle ultime due settimane, il sandbox V8 è stato attivo per impostazione predefinita sulle versioni a 64 bit di Chrome per Android, ChromeOS, Linux, macOS e Windows, principalmente per testare la stabilità e raccogliere statistiche sulle prestazioni.
RedazioneNel corso di un’operazione internazionale coordinata, denominata “Operation Checkmate”, le forze dell’ordine hanno sferrato un duro colpo al gruppo ransomware BlackSuit (qu...
Il Dipartimento di Giustizia degli Stati Uniti ha segnalato lo smantellamento di quattro piattaforme darknet utilizzate per la distribuzione di materiale pedopornografico. Contemporaneamente, un dicio...
“Combattere il cybercrime è come estirpare le erbacce: se non elimini le radici a fondo, queste ricresceranno” e oggi, più che mai, questa verità si conferma ess...
Immagina di aprire, come ogni sera, il bookmark del tuo forum preferito per scovare nuove varianti di stealer o l’ennesimo pacchetto di credenziali fresche di breach. Invece della solita bachec...
Il 22 luglio 2025, Mozilla ha rilasciato Firefox 141, un aggiornamento volto a migliorare la sicurezza del browser. Nell’ambito del Bollettino MFSA 2025-56, sono state risolte 18 vulnerabilit&#...
Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
