Stai utilizzando l'ultima versione di Google Chrome (attualmente 86.0.4240.111)? Ti consigliamo di verificare se il tuo browser Chrome è aggiornato poiché potrebbe essere soggetto a exploit. Il modo migliore per farlo è accedere al menu di Chrome, selezionando Guida e su Google Chrome.
Perché dovresti essere preoccupato? I ricercatori di cybersecurity hanno scoperto una serie di vulnerabilità ad alta gravità, compreso CVE-2020-15999, un bug zero-day sfruttato in natura in attacchi mirati.
CVE-2020-15999 Bug Zero-Day in Google Chrome
Lo zero-day attivamente sfruttato è un tipo di vulnerabilità di danneggiamento della memoria, noto come overflow del buffer di heap in FreeType, una libreria di sviluppo open source per il rendering dei caratteri inclusi nelle distribuzioni Chrome standard. Il difetto è stato scoperto dal ricercatore sulla sicurezza di Google Project Zero Sergei Glazunov lo scorso ottobre 19.
Ben Hawkes, Il team leader di Project Zero, afferma che gli hacker hanno abusato della vulnerabilità FreeType negli attacchi contro gli utenti di Chrome. Il ricercatore esorta altri fornitori di app che utilizzano FreeType ad aggiornare il loro software per aggirare eventuali futuri exploit. La libreria FreeType è stata modificata nella versione 2.10.4.
Cos'altro si sa sullo sfruttamento della vulnerabilità di FreeType Chrome? I dettagli sono scarsi in quanto Google è solitamente riluttante a rivelare informazioni tecniche in modo che gli utenti abbiano abbastanza tempo per l'aggiornamento. Tuttavia, esiste un problema: la patch per il bug è visibile nel codice sorgente di FreeType, il che significa che gli autori delle minacce potrebbero essere in grado di decodificarla e creare nuovi exploit.
È interessante notare che CVE-2020-15999 è il terzo zero-day sfruttato negli attacchi nell'ultimo anno. CVE-2019-13720 è stato avvistato a ottobre 2019, e CVE-2020-6418 - a febbraio 2020. CVE-2.019-13.720 era un problema da usare dopo il libero, relativi alla corruzione della memoria, mentre CVE-2020-6418 era una vulnerabilità di confusione di tipo.
Oltre a CVE-2020-15999, Google ha anche affrontato altre quattro vulnerabilità, tre dei quali classificati ad alto rischio:
- CVE-2020-16000: Implementazione inadeguata in Blink;
- CVE-2020-16001: Utilizzare dopo gratuito nei media;
- CVE-2020-16002: Utilizzare dopo gratis in PDFium;
- CVE-2020-16003: Utilizzare dopo la stampa gratuita (classificato come medio).
Ti consigliamo vivamente di farlo aggiorna i tuoi browser Chrome alla versione 86.0.4240.111 per rimanere protetti.