Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 10 Aprile 2024 07:19
Nel tentativo di migliorare la resistenza di Chrome ai bug di memoria, Google sta aggiungendo la sandbox V8 al suo browser e ora i ricercatori di sicurezza possono utilizzarla per trovare nuove vulnerabilità.
Negli ultimi anni Chrome ha sofferto di problemi di sicurezza della memoria, la maggior parte dei quali erano legati al motore JavaScript V8. Inoltre, nel caso del V8, i soliti mezzi di protezione (utilizzo di meccanismi di sicurezza hardware o passaggio a un linguaggio più sicuro per la memoria, ad esempio Rust), non hanno affatto aiutato.
“Quasi tutte le vulnerabilità trovate e sfruttate oggi nella V8 hanno una cosa in comune: il danneggiamento della memoria si verifica necessariamente all’interno dell’heap V8, poiché il compilatore e il runtime funzionano quasi sempre esclusivamente su istanze HeapObject V8”, afferma Google.
 CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub.
Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La nuova sandbox V8 isola la memoria per prevenire la sua corruzione. Poiché non esiste un hardware adatto a questo scopo, Google ha deciso di implementare il Sandbox nel software.
“L’idea di base di un sandbox software è quella di sostituire tutti i tipi di dati che possono accedere alla memoria al di fuori della sandbox. In particolare, devono essere rimossi tutti i puntatori (sia agli oggetti nell’heap V8 che altrove) e le dimensioni a 64 bit, poiché un utente malintenzionato potrebbe corromperli per accedere successivamente ad altre partizioni della memoria”, affermano gli sviluppatori.
Secondo gli esperti, negli scenari di attacco, gli aggressori non saranno in grado di sfuggire alla sandbox e raggiungere altre parti della memoria dove vengono allocati i processi. Quindi dovranno prima bypassare la sandbox V8, il che complicherà notevolmente il compito.
Proposto originariamente nel 2021, il sandboxing per V8 è ora considerato una funzionalità di sicurezza praticabile e Google lo ha già implementato in Chrome 123 a scopo di test. La società ha inoltre aggiunto la sandbox al bug bounty del programma Chrome Vulnerability Rewards in modo che gli sviluppatori e i ricercatori della sicurezza possano identificare difetti e vulnerabilità al suo interno.
Secondo Google, tutti i problemi identificati fino ad oggi sono banali bug di corruzione della memoria che non sono difficili da prevenire o mitigare, a differenza dei bug più gravi tipicamente riscontrati nel V8.
Si rileva inoltre che il sandboxing V8 rappresenta solo l’1% (o meno) del consumo di risorse in carichi di lavoro tipici, il che significa che potrebbe essere abilitato per impostazione predefinita su piattaforme compatibili. Nelle ultime due settimane, il sandbox V8 è stato attivo per impostazione predefinita sulle versioni a 64 bit di Chrome per Android, ChromeOS, Linux, macOS e Windows, principalmente per testare la stabilità e raccogliere statistiche sulle prestazioni.
RedazioneDietro molte delle applicazioni e servizi digitali che diamo per scontati ogni giorno si cela un gigante silenzioso: FreeBSD. Conosciuto soprattutto dagli addetti ai lavori, questo sistema operativo U...
Molto spesso parliamo su questo sito del fatto che la finestra tra la pubblicazione di un exploit e l’avvio di attacchi attivi si sta riducendo drasticamente. Per questo motivo diventa sempre più f...
Dal 1° luglio, Cloudflare ha bloccato 416 miliardi di richieste da parte di bot di intelligenza artificiale che tentavano di estrarre contenuti dai siti web dei suoi clienti. Secondo Matthew Prince, ...
Nel 2025, le comunità IT e della sicurezza sono in fermento per un solo nome: “React2Shell“. Con la divulgazione di una nuova vulnerabilità, CVE-2025-55182, classificata CVSS 10.0, sviluppatori ...
Cloudflare torna sotto i riflettori dopo una nuova ondata di disservizi che, nella giornata del 5 dicembre 2025, sta colpendo diversi componenti della piattaforma. Oltre ai problemi al Dashboard e all...
