Un bug critico sulla libreria VP8 in Google Chrome ha consentito di eseguire codice remoto agli hacker di stato

Google ha rilasciato patch di emergenza per risolvere una vulnerabilità zero-day nel browser Chrome. Il problema è già stato sfruttato attivamente e si consiglia a tutti gli utenti di installare gli aggiornamenti il ​​prima possibile.

Secondo il bollettino ufficiale sulla sicurezza, la vulnerabilità ha ricevuto il CVE-2023-5217 e gli esperti di Google sono consapevoli dell’esistenza di un relativo exploit.

Il bug è stato risolto con il rilascio della versione 117.0.5938.132 di Google Chrome, già disponibile per gli utenti Windows, Mac e Linux di tutto il mondo nel canale Stable Desktop.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

È noto che la vulnerabilità è stata scoperta all’inizio di questa settimana dai ricercatori del Google Threat Analysis Group (TAG) ed è associata a un heap buffer overflow in VP8 della libreria di codec video open source libvpx. L’impatto del problema può variare dal crash dell’applicazione all’esecuzione arbitraria di codice sul sistema della vittima.

Gli esperti di Google TAG sono noti per identificare frequentemente i bug 0-day utilizzati negli attacchi di spionaggio mirati da parte di hacker “governativi” in tutto il mondo, che spesso prendono di mira giornalisti, attivisti, politici dell’opposizione e così via. Questa volta, anche Maddie Stone, specialista di Google TAG, ha avvertito che la vulnerabilità CVE-2023-5217 veniva utilizzata per installare spyware sui dispositivi delle vittime.

Nonostante l’ultimo problema sia già stato utilizzato in attacchi, gli esperti di Google non hanno ancora fornito ulteriori dati su questi incidenti. Pertanto, l’azienda concede agli utenti più tempo per installare le patch per proteggerli da potenziali attacchi.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.