Google risolve le vulnerabilità zero-day sfruttate durante Pwn2Own 2024

Sandro Sana : 29 Marzo 2024 18:57

Un rapido intervento del team di sviluppo di Google Chrome protegge gli utenti da potenziali attacchi informatici

Pwn2Own è un evento annuale di hacking organizzato da Zero Day Initiative, una piattaforma che promuove la ricerca sulla sicurezza informatica e offre ricompense agli esperti che scoprono e segnalano vulnerabilità nei software più diffusi. L’evento si svolge in diverse categorie, tra cui browser web, sistemi operativi, applicazioni e dispositivi IoT. Gli hacker che riescono a sfruttare le vulnerabilità nei software target ricevono premi in denaro e riconoscimenti, mentre le vulnerabilità scoperte vengono segnalate ai produttori dei software per permettere loro di implementare delle patch di sicurezza. Pwn2Own è considerato un evento prestigioso e competitivo nel campo della sicurezza informatica, in quanto mette alla prova le abilità degli hacker e la robustezza dei software.

Le vulnerabilità zero-day scoperte in Google Chrome

Durante l’edizione 2024 di Pwn2Own, sono state scoperte e sfruttate quattro vulnerabilità zero-day nel browser web Google Chrome. Le vulnerabilità zero-day sono falle di sicurezza sconosciute agli sviluppatori del software e agli utenti stessi, che possono essere sfruttate da hacker malintenzionati per eseguire codice dannoso sui dispositivi degli utenti, compromettendone la sicurezza e la privacy. Le vulnerabilità scoperte in Google Chrome riguardavano il motore di rendering, il gestore delle estensioni, il sandbox e il kernel. Queste vulnerabilità potevano permettere agli hacker di ottenere il controllo del dispositivo dell’utente, di accedere ai dati sensibili, di installare malware o di rubare informazioni personali.

La risposta rapida di Google

Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference.  Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.  Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.  Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Fortunatamente, il team di sviluppo di Google Chrome ha reagito prontamente alle scoperte fatte durante Pwn2Own 2024 e ha rilasciato tempestivamente delle patch per risolvere le vulnerabilità individuate. Questa risposta rapida è fondamentale per proteggere gli utenti da potenziali attacchi informatici e per garantire la sicurezza online. Google ha ringraziato gli hacker che hanno partecipato a Pwn2Own per aver contribuito a migliorare la sicurezza del browser e ha invitato gli utenti a installare gli aggiornamenti appena disponibili. Google ha anche sottolineato il suo impegno per la sicurezza informatica e la sua collaborazione con la comunità degli esperti di sicurezza.

Il commento di Google sulle patch di sicurezza

In un post sul suo blog ufficiale, Google ha fornito maggiori dettagli sulle patch di sicurezza rilasciate per risolvere le vulnerabilità zero-day scoperte durante Pwn2Own 2024. Il post riporta il seguente testo:

The Stable channel has been updated to 123.0.6312.86/.87 for Windows and Mac and 123.0.6312.86 to Linux which will roll out over the coming days/weeks. A full list of changes in this build is available in the Log.\rSecurity Fixes and Rewards\rNote: Access to bug details and links may be kept restricted until a majority of users are updated with a fix. We will also retain restrictions if the bug exists in a third party library that other projects similarly depend on, but haven’t yet fixed.This update includes 7 security fixes. Below, we highlight fixes that were contributed by external researchers. Please see the Chrome Security Page for more information.[$10000][327807820] Critical CVE-2024-2883: Use after free in ANGLE. Reported by Cassidy Kim(@cassidy6564) on 2024-03-03[TBD][328958020] High CVE-2024-2885: Use after free in Dawn. Reported by wgslfuzz on 2024-03-11[N/A][330575496] High CVE-2024-2886: Use after free in WebCodecs. Reported by Seunghyun Lee (@0x10n) of KAIST Hacking Lab, via Pwn2Own 2024 on 2024-03-21[N/A][330588502] High CVE-2024-2887: Type Confusion in WebAssembly. Reported by Manfred Paul, via Pwn2Own 2024 on 2024-03-21We would also like to thank all security researchers that worked with us during the development cycle to prevent security bugs from ever reaching the stable channel.As usual, our ongoing internal security work was responsible for a wide range of fixes:[331221727] Various fixes from internal audits, fuzzing and other initiativesMany of our security bugs are detected using AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer, or AFLInterested in switching release channels? Find out how here. If you find a new issue, please let us know by filing a bug. The community help forum is also a great place to reach out for help or learn about common issues. Srinivas Sista

Google ha quindi reso noto il numero e la gravità delle vulnerabilità corrette, il nome e la fonte dei ricercatori che le hanno scoperte e segnalate, e i metodi che usa per rilevare e prevenire i bug di sicurezza. Google ha anche fornito dei link utili per gli utenti che vogliono cambiare canale di rilascio, segnalare nuovi problemi o ricevere assistenza. Il post si conclude con la firma di Srinivas Sista, un membro del team di sviluppo di Google Chrome.

L’importanza di una costante vigilanza e aggiornamenti regolari

Tuttavia, l’evento Pwn2Own 2024 evidenzia anche l’importanza di una costante vigilanza e aggiornamenti regolari dei software per proteggere gli utenti da minacce informatiche sempre più sofisticate. Gli utenti sono incoraggiati a mantenere i propri browser e altri software sempre aggiornati per ridurre al minimo il rischio di essere vittime di attacchi informatici. Inoltre, gli utenti dovrebbero adottare delle buone pratiche di sicurezza, come usare password forti e diversificate, attivare l’autenticazione a due fattori, evitare di cliccare su link o allegati sospetti, usare una VPN e un antivirus, e verificare la sicurezza dei siti web che visitano. Solo così si può garantire una navigazione sicura e protetta in internet.

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Lista degli articoli
Visita il sito web dell'autore