Un altro 0day critico su Google Chrome. Scoperto da Kaspersky Lab

Google ha rilasciato aggiornamenti per correggere nove vulnerabilità nel browser Chrome  inclusa una nuova vulnerabilità zero-day sfruttata attivamente dagli aggressori. La vulnerabilità è identificata come CVE-2024-4947 ed è associata a un errore di Type Confusion nel motore JavaScript V8 e WebAssembly.

L’errore è stato scoperto dai ricercatori di Kaspersky Lab – Vasily Berdnikov e Boris Larin il 13 maggio 2024. Le vulnerabilità di Type Confusion si verificano quando un programma tenta di accedere a una risorsa con un tipo incompatibile. Ciò può portare a gravi conseguenze, come memoria fuori dai limiti, arresti anomali ed esecuzione di codice arbitrario.

Questo incidente rappresenta la terza vulnerabilità zero-day risolta da Google la scorsa settimana, dopo CVE-2024-4671 e CVE-2024-4761. Ulteriori dettagli sugli attacchi non sono stati divulgati per evitare un ulteriore sfruttamento della vulnerabilità, ma l’azienda afferma di essere a conoscenza dell’esistenza e dell’utilizzo di un exploit per CVE-2024-4947 in the wild (ITW).

Tenendo conto di CVE-2024-4947, dall’inizio dell’anno Google ha già corretto sette vulnerabilità zero-day in Chrome:

• CVE-2024-0519 – Array di memoria fuori dai limiti in V8;
• CVE-2024-2886 – Use-After-Free nei WebCodec;
• CVE-2024-2887 – errore di Type Confusion in WebAssembly;
• CVE-2024-3159 – Array di memoria fuori dai limiti in V8;
• CVE-2024-4671 – Use-After-Free nelle immagini;
• CVE-2024-4761 Scrittura di un array fuori dai limiti in V8.

Si consiglia agli utenti di Chrome di aggiornare alla versione 125.0.6422.60/.61 per ridurre potenziali minacce.

Allo stesso tempo, gli utenti di altri browser basati su Chromium come Edge, Brave, Opera e Vivaldi dovrebbero applicare gli aggiornamenti non appena saranno disponibili.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks