Riavvialo ancora! Google corregge 20 bug di sicurezza nel Browser Chrome

Se utilizzi Google Chrome, dovresti sederti e prestare un minuto di attenzione. Google ha appena lanciato un avviso su una vulnerabilità critica nascosta nella funzione di isolamento dei siti di Chrome. Questo bug non è solo un altro difetto di sicurezza comune; è un bug che potrebbe consentire agli aggressori di ottenere il controllo completo eseguendo del codice arbitrario (RCE).

Sebbene Google non fornisca dettagli sul CVE-2023-5218, i bug use-after-free nell’isolamento del sito possono in genere consentire agli aggressori di eseguire un’escape sandbox tramite una pagina HTML predisposta, che potrebbe potenzialmente consentire loro di eseguire codice arbitrario.

Gli utenti i cui account sono configurati per avere meno diritti sul sistema potrebbero essere meno colpiti rispetto a quelli che operano con diritti utente amministrativi.

Al momento non ci sono segnalazioni di queste vulnerabilità sfruttate in attacchi reali, ma il pacchetto diffuso da Google contiene 20 vulnerabilità aggiornate:

• [1487110] Critical CVE-2023-5218: Use after free in Site Isolation. Reported by @18楼梦想改造家 on 2023-09-27
• [1062251] Medium CVE-2023-5487: Inappropriate implementation in Fullscreen. Reported by Anonymous on 2020-03-17
• [1414936] Medium CVE-2023-5484: Inappropriate implementation in Navigation. Reported by Thomas Orlita on 2023-02-11
• [1476952] Medium CVE-2023-5475: Inappropriate implementation in DevTools. Reported by Axel Chong on 2023-08-30
• [1425355] Medium CVE-2023-5483: Inappropriate implementation in Intents. Reported by Axel Chong on 2023-03-17
• [1458934] Medium CVE-2023-5481: Inappropriate implementation in Downloads. Reported by Om Apip on 2023-06-28
• [1474253] Medium CVE-2023-5476: Use after free in Blink History. Reported by Yunqin Sun on 2023-08-20
• [1483194] Medium CVE-2023-5474: Heap buffer overflow in PDF. Reported by [pwn2car] on 2023-09-15
• [1471253] Medium CVE-2023-5479: Inappropriate implementation in Extensions API. Reported by Axel Chong on 2023-08-09
• [1395164] Low CVE-2023-5485: Inappropriate implementation in Autofill. Reported by Ahmed ElMasry on 2022-12-02
• [1472404] Low CVE-2023-5478: Inappropriate implementation in Autofill. Reported by Ahmed ElMasry on 2023-08-12
• [1472558] Low CVE-2023-5477: Inappropriate implementation in Installer. Reported by Bahaa Naamneh of Crosspoint Labs on 2023-08-13
• [1357442] Low CVE-2023-5486: Inappropriate implementation in Input. Reported by Hafiizh on 2022-08-29
• [1484000] Low CVE-2023-5473: Use after free in Cast. Reported by DarkNavy on 2023-09-18

Chrome 118 risolve inoltre otto difetti di media gravità segnalati da ricercatori esterni, sei dei quali sono problemi di implementazione inappropriata nelle API a schermo intero, navigazione, DevTools, intenti, download ed estensioni.

Raccomandazioni per un utilizzo sicuro del browser Chrome:

• Applicare gli aggiornamenti appropriati forniti da Google ai sistemi vulnerabili immediatamente dopo i test appropriati;
• Stabilire e mantenere un processo documentato di gestione delle vulnerabilità per le risorse aziendali. Rivedere e aggiornare la documentazione ogni anno o quando si verificano cambiamenti aziendali significativi che potrebbero influire su questo processo;
• Eseguire gli aggiornamenti delle applicazioni sulle risorse aziendali tramite una gestione automatizzata delle patch su base mensile o più frequente;
• Garantire che solo i browser e i client di posta elettronica completamente supportati possano essere utilizzati in azienda, rendendo disponibile solo la versione più recente dei browser e dei client di posta elettronica disponibili;
• Applicare il principio del privilegio minimo a tutti i sistemi e servizi. Eseguire tutto il software come utente non privilegiato (senza privilegi amministrativi) per ridurre gli effetti di un attacco riuscito;
• Gestire in maniera centralizzata gli account come root, Administratore e altri account amministrativi. Le implementazioni di esempio possono includere: disabilitare gli account predefiniti o renderli inutilizzabili;
• Limitare i privilegi di amministratore solo agli amministratori dei sistemi. Condurre tutte le attività, come la navigazione in Internet, la posta elettronica utilizzando l’account principale non privilegiato dell’utente;
• Limitare l’esecuzione del codice a un ambiente virtuale o in transito verso un sistema endpoint;
• Utilizzare strumenti per rilevare e bloccare l’esecuzione di un exploit;
• Abilita funzionalità anti-sfruttamento su risorse e software aziendali, ove possibile, come Microsoft® Data Execution Prevention (DEP), Windows® Defender Exploit Guard (WDEG) o Apple® System Integrity Protection ( SIP) e Gatekeeper™;
• Limitare l’uso di determinati siti Web, bloccare download/allegati, bloccare Javascript, limitare le estensioni del browser, ecc;
• Utilizzare i servizi di filtro DNS su tutte le risorse aziendali per bloccare l’accesso a domini dannosi noti;
• Applicare e aggiornare i filtri URL basati sulla rete per impedire a una risorsa aziendale di connettersi a siti Web potenzialmente dannosi o non approvati. Le implementazioni di esempio includono il filtraggio basato su categorie, il filtraggio basato sulla reputazione o l’uso di elenchi di blocco. Applica filtri per tutte le risorse aziendali;
• Bloccare i tipi di file non necessari che tentano di accedere al gateway di posta elettronica dell’azienda;
• Informare ed educare gli utenti riguardo alle minacce poste dai collegamenti ipertestuali contenuti nelle e-mail o negli allegati, soprattutto provenienti da fonti non attendibili. Ricordare agli utenti di non visitare siti Web non attendibili o di seguire collegamenti forniti da fonti sconosciute o non attendibili;
• Stabilire e mantenere nel tempo un programma di sensibilizzazione sulla sicurezza informatica. Lo scopo di un programma di sensibilizzazione alla sicurezza è educare la forza lavoro dell’azienda su come interagire con le risorse e i dati aziendali in modo sicuro. Condurre la formazione al momento dell’assunzione e, come minimo, ogni anno. Rivedere e aggiornare i contenuti ogni anno o quando si verificano cambiamenti aziendali significativi che potrebbero influire su questa salvaguardia;
• Formare i membri della forza lavoro a riconoscere gli attacchi di ingegneria sociale, come phishing, pre-invio di messaggi di testo e tailgating ecc…

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks