Riavvialo ancora! Google corregge 20 bug di sicurezza nel Browser Chrome

Se utilizzi Google Chrome, dovresti sederti e prestare un minuto di attenzione. Google ha appena lanciato un avviso su una vulnerabilità critica nascosta nella funzione di isolamento dei siti di Chrome. Questo bug non è solo un altro difetto di sicurezza comune; è un bug che potrebbe consentire agli aggressori di ottenere il controllo completo eseguendo del codice arbitrario (RCE).

Sebbene Google non fornisca dettagli sul CVE-2023-5218, i bug use-after-free nell’isolamento del sito possono in genere consentire agli aggressori di eseguire un’escape sandbox tramite una pagina HTML predisposta, che potrebbe potenzialmente consentire loro di eseguire codice arbitrario.

Gli utenti i cui account sono configurati per avere meno diritti sul sistema potrebbero essere meno colpiti rispetto a quelli che operano con diritti utente amministrativi.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Al momento non ci sono segnalazioni di queste vulnerabilità sfruttate in attacchi reali, ma il pacchetto diffuso da Google contiene 20 vulnerabilità aggiornate:

• [1487110] Critical CVE-2023-5218: Use after free in Site Isolation. Reported by @18楼梦想改造家 on 2023-09-27
• [1062251] Medium CVE-2023-5487: Inappropriate implementation in Fullscreen. Reported by Anonymous on 2020-03-17
• [1414936] Medium CVE-2023-5484: Inappropriate implementation in Navigation. Reported by Thomas Orlita on 2023-02-11
• [1476952] Medium CVE-2023-5475: Inappropriate implementation in DevTools. Reported by Axel Chong on 2023-08-30
• [1425355] Medium CVE-2023-5483: Inappropriate implementation in Intents. Reported by Axel Chong on 2023-03-17
• [1458934] Medium CVE-2023-5481: Inappropriate implementation in Downloads. Reported by Om Apip on 2023-06-28
• [1474253] Medium CVE-2023-5476: Use after free in Blink History. Reported by Yunqin Sun on 2023-08-20
• [1483194] Medium CVE-2023-5474: Heap buffer overflow in PDF. Reported by [pwn2car] on 2023-09-15
• [1471253] Medium CVE-2023-5479: Inappropriate implementation in Extensions API. Reported by Axel Chong on 2023-08-09
• [1395164] Low CVE-2023-5485: Inappropriate implementation in Autofill. Reported by Ahmed ElMasry on 2022-12-02
• [1472404] Low CVE-2023-5478: Inappropriate implementation in Autofill. Reported by Ahmed ElMasry on 2023-08-12
• [1472558] Low CVE-2023-5477: Inappropriate implementation in Installer. Reported by Bahaa Naamneh of Crosspoint Labs on 2023-08-13
• [1357442] Low CVE-2023-5486: Inappropriate implementation in Input. Reported by Hafiizh on 2022-08-29
• [1484000] Low CVE-2023-5473: Use after free in Cast. Reported by DarkNavy on 2023-09-18

Chrome 118 risolve inoltre otto difetti di media gravità segnalati da ricercatori esterni, sei dei quali sono problemi di implementazione inappropriata nelle API a schermo intero, navigazione, DevTools, intenti, download ed estensioni.

Raccomandazioni per un utilizzo sicuro del browser Chrome:

• Applicare gli aggiornamenti appropriati forniti da Google ai sistemi vulnerabili immediatamente dopo i test appropriati;
• Stabilire e mantenere un processo documentato di gestione delle vulnerabilità per le risorse aziendali. Rivedere e aggiornare la documentazione ogni anno o quando si verificano cambiamenti aziendali significativi che potrebbero influire su questo processo;
• Eseguire gli aggiornamenti delle applicazioni sulle risorse aziendali tramite una gestione automatizzata delle patch su base mensile o più frequente;
• Garantire che solo i browser e i client di posta elettronica completamente supportati possano essere utilizzati in azienda, rendendo disponibile solo la versione più recente dei browser e dei client di posta elettronica disponibili;
• Applicare il principio del privilegio minimo a tutti i sistemi e servizi. Eseguire tutto il software come utente non privilegiato (senza privilegi amministrativi) per ridurre gli effetti di un attacco riuscito;
• Gestire in maniera centralizzata gli account come root, Administratore e altri account amministrativi. Le implementazioni di esempio possono includere: disabilitare gli account predefiniti o renderli inutilizzabili;
• Limitare i privilegi di amministratore solo agli amministratori dei sistemi. Condurre tutte le attività, come la navigazione in Internet, la posta elettronica utilizzando l’account principale non privilegiato dell’utente;
• Limitare l’esecuzione del codice a un ambiente virtuale o in transito verso un sistema endpoint;
• Utilizzare strumenti per rilevare e bloccare l’esecuzione di un exploit;
• Abilita funzionalità anti-sfruttamento su risorse e software aziendali, ove possibile, come Microsoft® Data Execution Prevention (DEP), Windows® Defender Exploit Guard (WDEG) o Apple® System Integrity Protection ( SIP) e Gatekeeper™;
• Limitare l’uso di determinati siti Web, bloccare download/allegati, bloccare Javascript, limitare le estensioni del browser, ecc;
• Utilizzare i servizi di filtro DNS su tutte le risorse aziendali per bloccare l’accesso a domini dannosi noti;
• Applicare e aggiornare i filtri URL basati sulla rete per impedire a una risorsa aziendale di connettersi a siti Web potenzialmente dannosi o non approvati. Le implementazioni di esempio includono il filtraggio basato su categorie, il filtraggio basato sulla reputazione o l’uso di elenchi di blocco. Applica filtri per tutte le risorse aziendali;
• Bloccare i tipi di file non necessari che tentano di accedere al gateway di posta elettronica dell’azienda;
• Informare ed educare gli utenti riguardo alle minacce poste dai collegamenti ipertestuali contenuti nelle e-mail o negli allegati, soprattutto provenienti da fonti non attendibili. Ricordare agli utenti di non visitare siti Web non attendibili o di seguire collegamenti forniti da fonti sconosciute o non attendibili;
• Stabilire e mantenere nel tempo un programma di sensibilizzazione sulla sicurezza informatica. Lo scopo di un programma di sensibilizzazione alla sicurezza è educare la forza lavoro dell’azienda su come interagire con le risorse e i dati aziendali in modo sicuro. Condurre la formazione al momento dell’assunzione e, come minimo, ogni anno. Rivedere e aggiornare i contenuti ogni anno o quando si verificano cambiamenti aziendali significativi che potrebbero influire su questa salvaguardia;
• Formare i membri della forza lavoro a riconoscere gli attacchi di ingegneria sociale, come phishing, pre-invio di messaggi di testo e tailgating ecc…

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.