Google risolve le vulnerabilità zero-day sfruttate durante Pwn2Own 2024

Sandro Sana : 29 Marzo 2024 18:57

Un rapido intervento del team di sviluppo di Google Chrome protegge gli utenti da potenziali attacchi informatici

Pwn2Own è un evento annuale di hacking organizzato da Zero Day Initiative, una piattaforma che promuove la ricerca sulla sicurezza informatica e offre ricompense agli esperti che scoprono e segnalano vulnerabilità nei software più diffusi. L’evento si svolge in diverse categorie, tra cui browser web, sistemi operativi, applicazioni e dispositivi IoT. Gli hacker che riescono a sfruttare le vulnerabilità nei software target ricevono premi in denaro e riconoscimenti, mentre le vulnerabilità scoperte vengono segnalate ai produttori dei software per permettere loro di implementare delle patch di sicurezza. Pwn2Own è considerato un evento prestigioso e competitivo nel campo della sicurezza informatica, in quanto mette alla prova le abilità degli hacker e la robustezza dei software.

Le vulnerabilità zero-day scoperte in Google Chrome

Durante l’edizione 2024 di Pwn2Own, sono state scoperte e sfruttate quattro vulnerabilità zero-day nel browser web Google Chrome. Le vulnerabilità zero-day sono falle di sicurezza sconosciute agli sviluppatori del software e agli utenti stessi, che possono essere sfruttate da hacker malintenzionati per eseguire codice dannoso sui dispositivi degli utenti, compromettendone la sicurezza e la privacy. Le vulnerabilità scoperte in Google Chrome riguardavano il motore di rendering, il gestore delle estensioni, il sandbox e il kernel. Queste vulnerabilità potevano permettere agli hacker di ottenere il controllo del dispositivo dell’utente, di accedere ai dati sensibili, di installare malware o di rubare informazioni personali.

La risposta rapida di Google

Fortunatamente, il team di sviluppo di Google Chrome ha reagito prontamente alle scoperte fatte durante Pwn2Own 2024 e ha rilasciato tempestivamente delle patch per risolvere le vulnerabilità individuate. Questa risposta rapida è fondamentale per proteggere gli utenti da potenziali attacchi informatici e per garantire la sicurezza online. Google ha ringraziato gli hacker che hanno partecipato a Pwn2Own per aver contribuito a migliorare la sicurezza del browser e ha invitato gli utenti a installare gli aggiornamenti appena disponibili. Google ha anche sottolineato il suo impegno per la sicurezza informatica e la sua collaborazione con la comunità degli esperti di sicurezza.

Il commento di Google sulle patch di sicurezza

Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber

«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi». Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

In un post sul suo blog ufficiale, Google ha fornito maggiori dettagli sulle patch di sicurezza rilasciate per risolvere le vulnerabilità zero-day scoperte durante Pwn2Own 2024. Il post riporta il seguente testo:

The Stable channel has been updated to 123.0.6312.86/.87 for Windows and Mac and 123.0.6312.86 to Linux which will roll out over the coming days/weeks. A full list of changes in this build is available in the Log.\rSecurity Fixes and Rewards\rNote: Access to bug details and links may be kept restricted until a majority of users are updated with a fix. We will also retain restrictions if the bug exists in a third party library that other projects similarly depend on, but haven’t yet fixed.This update includes 7 security fixes. Below, we highlight fixes that were contributed by external researchers. Please see the Chrome Security Page for more information.[$10000][327807820] Critical CVE-2024-2883: Use after free in ANGLE. Reported by Cassidy Kim(@cassidy6564) on 2024-03-03[TBD][328958020] High CVE-2024-2885: Use after free in Dawn. Reported by wgslfuzz on 2024-03-11[N/A][330575496] High CVE-2024-2886: Use after free in WebCodecs. Reported by Seunghyun Lee (@0x10n) of KAIST Hacking Lab, via Pwn2Own 2024 on 2024-03-21[N/A][330588502] High CVE-2024-2887: Type Confusion in WebAssembly. Reported by Manfred Paul, via Pwn2Own 2024 on 2024-03-21We would also like to thank all security researchers that worked with us during the development cycle to prevent security bugs from ever reaching the stable channel.As usual, our ongoing internal security work was responsible for a wide range of fixes:[331221727] Various fixes from internal audits, fuzzing and other initiativesMany of our security bugs are detected using AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer, or AFLInterested in switching release channels? Find out how here. If you find a new issue, please let us know by filing a bug. The community help forum is also a great place to reach out for help or learn about common issues. Srinivas Sista

Google ha quindi reso noto il numero e la gravità delle vulnerabilità corrette, il nome e la fonte dei ricercatori che le hanno scoperte e segnalate, e i metodi che usa per rilevare e prevenire i bug di sicurezza. Google ha anche fornito dei link utili per gli utenti che vogliono cambiare canale di rilascio, segnalare nuovi problemi o ricevere assistenza. Il post si conclude con la firma di Srinivas Sista, un membro del team di sviluppo di Google Chrome.

L’importanza di una costante vigilanza e aggiornamenti regolari

Tuttavia, l’evento Pwn2Own 2024 evidenzia anche l’importanza di una costante vigilanza e aggiornamenti regolari dei software per proteggere gli utenti da minacce informatiche sempre più sofisticate. Gli utenti sono incoraggiati a mantenere i propri browser e altri software sempre aggiornati per ridurre al minimo il rischio di essere vittime di attacchi informatici. Inoltre, gli utenti dovrebbero adottare delle buone pratiche di sicurezza, come usare password forti e diversificate, attivare l’autenticazione a due fattori, evitare di cliccare su link o allegati sospetti, usare una VPN e un antivirus, e verificare la sicurezza dei siti web che visitano. Solo così si può garantire una navigazione sicura e protetta in internet.

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Lista degli articoli
Visita il sito web dell'autore