Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Home
Riavvialo ancora! Google corregge 20 bug di sicurezza nel Browser Chrome

Riavvialo ancora! Google corregge 20 bug di sicurezza nel Browser Chrome

11 Ottobre 2023 16:47

Se utilizzi Google Chrome, dovresti sederti e prestare un minuto di attenzione. Google ha appena lanciato un avviso su una vulnerabilità critica nascosta nella funzione di isolamento dei siti di Chrome. Questo bug non è solo un altro difetto di sicurezza comune; è un bug che potrebbe consentire agli aggressori di ottenere il controllo completo eseguendo del codice arbitrario (RCE).

Sebbene Google non fornisca dettagli sul CVE-2023-5218, i bug use-after-free nell’isolamento del sito possono in genere consentire agli aggressori di eseguire un’escape sandbox tramite una pagina HTML predisposta, che potrebbe potenzialmente consentire loro di eseguire codice arbitrario.

Gli utenti i cui account sono configurati per avere meno diritti sul sistema potrebbero essere meno colpiti rispetto a quelli che operano con diritti utente amministrativi.

Advertising

Al momento non ci sono segnalazioni di queste vulnerabilità sfruttate in attacchi reali, ma il pacchetto diffuso da Google contiene 20 vulnerabilità aggiornate:

  • [1487110] Critical CVE-2023-5218: Use after free in Site Isolation. Reported by @18楼梦想改造家 on 2023-09-27
  • [1062251] Medium CVE-2023-5487: Inappropriate implementation in Fullscreen. Reported by Anonymous on 2020-03-17
  • [1414936] Medium CVE-2023-5484: Inappropriate implementation in Navigation. Reported by Thomas Orlita on 2023-02-11
  • [1476952] Medium CVE-2023-5475: Inappropriate implementation in DevTools. Reported by Axel Chong on 2023-08-30
  • [1425355] Medium CVE-2023-5483: Inappropriate implementation in Intents. Reported by Axel Chong on 2023-03-17
  • [1458934] Medium CVE-2023-5481: Inappropriate implementation in Downloads. Reported by Om Apip on 2023-06-28
  • [1474253] Medium CVE-2023-5476: Use after free in Blink History. Reported by Yunqin Sun on 2023-08-20
  • [1483194] Medium CVE-2023-5474: Heap buffer overflow in PDF. Reported by [pwn2car] on 2023-09-15
  • [1471253] Medium CVE-2023-5479: Inappropriate implementation in Extensions API. Reported by Axel Chong on 2023-08-09
  • [1395164] Low CVE-2023-5485: Inappropriate implementation in Autofill. Reported by Ahmed ElMasry on 2022-12-02
  • [1472404] Low CVE-2023-5478: Inappropriate implementation in Autofill. Reported by Ahmed ElMasry on 2023-08-12
  • [1472558] Low CVE-2023-5477: Inappropriate implementation in Installer. Reported by Bahaa Naamneh of Crosspoint Labs on 2023-08-13
  • [1357442] Low CVE-2023-5486: Inappropriate implementation in Input. Reported by Hafiizh on 2022-08-29
  • [1484000] Low CVE-2023-5473: Use after free in Cast. Reported by DarkNavy on 2023-09-18

Chrome 118 risolve inoltre otto difetti di media gravità segnalati da ricercatori esterni, sei dei quali sono problemi di implementazione inappropriata nelle API a schermo intero, navigazione, DevTools, intenti, download ed estensioni.

Raccomandazioni per un utilizzo sicuro del browser Chrome:

  • Applicare gli aggiornamenti appropriati forniti da Google ai sistemi vulnerabili immediatamente dopo i test appropriati;
  • Stabilire e mantenere un processo documentato di gestione delle vulnerabilità per le risorse aziendali. Rivedere e aggiornare la documentazione ogni anno o quando si verificano cambiamenti aziendali significativi che potrebbero influire su questo processo;
  • Eseguire gli aggiornamenti delle applicazioni sulle risorse aziendali tramite una gestione automatizzata delle patch su base mensile o più frequente;
  • Garantire che solo i browser e i client di posta elettronica completamente supportati possano essere utilizzati in azienda, rendendo disponibile solo la versione più recente dei browser e dei client di posta elettronica disponibili;
  • Applicare il principio del privilegio minimo a tutti i sistemi e servizi. Eseguire tutto il software come utente non privilegiato (senza privilegi amministrativi) per ridurre gli effetti di un attacco riuscito;
  • Gestire in maniera centralizzata gli account come root, Administratore e altri account amministrativi. Le implementazioni di esempio possono includere: disabilitare gli account predefiniti o renderli inutilizzabili;
  • Limitare i privilegi di amministratore solo agli amministratori dei sistemi. Condurre tutte le attività, come la navigazione in Internet, la posta elettronica utilizzando l’account principale non privilegiato dell’utente;
  • Limitare l’esecuzione del codice a un ambiente virtuale o in transito verso un sistema endpoint;
  • Utilizzare strumenti per rilevare e bloccare l’esecuzione di un exploit;
  • Abilita funzionalità anti-sfruttamento su risorse e software aziendali, ove possibile, come Microsoft® Data Execution Prevention (DEP), Windows® Defender Exploit Guard (WDEG) o Apple® System Integrity Protection ( SIP) e Gatekeeper™;
  • Limitare l’uso di determinati siti Web, bloccare download/allegati, bloccare Javascript, limitare le estensioni del browser, ecc;
  • Utilizzare i servizi di filtro DNS su tutte le risorse aziendali per bloccare l’accesso a domini dannosi noti;
  • Applicare e aggiornare i filtri URL basati sulla rete per impedire a una risorsa aziendale di connettersi a siti Web potenzialmente dannosi o non approvati. Le implementazioni di esempio includono il filtraggio basato su categorie, il filtraggio basato sulla reputazione o l’uso di elenchi di blocco. Applica filtri per tutte le risorse aziendali;
  • Bloccare i tipi di file non necessari che tentano di accedere al gateway di posta elettronica dell’azienda;
  • Informare ed educare gli utenti riguardo alle minacce poste dai collegamenti ipertestuali contenuti nelle e-mail o negli allegati, soprattutto provenienti da fonti non attendibili. Ricordare agli utenti di non visitare siti Web non attendibili o di seguire collegamenti forniti da fonti sconosciute o non attendibili;
  • Stabilire e mantenere nel tempo un programma di sensibilizzazione sulla sicurezza informatica. Lo scopo di un programma di sensibilizzazione alla sicurezza è educare la forza lavoro dell’azienda su come interagire con le risorse e i dati aziendali in modo sicuro. Condurre la formazione al momento dell’assunzione e, come minimo, ogni anno. Rivedere e aggiornare i contenuti ogni anno o quando si verificano cambiamenti aziendali significativi che potrebbero influire su questa salvaguardia;
  • Formare i membri della forza lavoro a riconoscere gli attacchi di ingegneria sociale, come phishing, pre-invio di messaggi di testo e tailgating ecc…

📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Agostino Pellegrino 300x300
E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.
Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks