Google corregge il bug di Chrome sfruttato attivamente

Mentre le persone festeggiavano le festività del 4 luglio negli Stati Uniti, Google ha silenziosamente lanciato un aggiornamento del canale stabile per Chrome per correggere una vulnerabilità zero-day sfruttata attivamente, il quarto difetto di questo tipo che il fornitore ha dovuto correggere finora nel suo prodotto browser. quest'anno.

Chrome 103 (103.0.5060.71) per Android e versione 103.0.5060.114 per Windows e Mac, descritti in separato post del blog pubblicato lunedì, corregge un difetto di overflow del buffer di heap in WebRTC, il motore che fornisce al browser la sua capacità di comunicazione in tempo reale.

La vulnerabilità, rilevata come CVE-2022-2294 e segnalato da Jan Vojtesek del team Avast Threat Intelligence il 1° luglio, è descritto come un buffer overflow, "dove il buffer che può essere sovrascritto è allocato nella porzione heap della memoria", secondo la vulnerabilità annuncio sul sito web Common Weakness Enumeration (CWE).

Come al solito, Google non ha rivelato dettagli specifici sul bug, poiché generalmente attende fino a quando la maggior parte non avrà aggiornato la versione corretta del prodotto interessato. In effetti, l'aggiornamento è fortemente raccomandato, poiché esistono già exploit per la vulnerabilità, ha affermato Google.

Inoltre, con gli scarsi dettagli rivelati sulla falla – un’abitudine di Google che molti ricercatori di sicurezza trovano frustrante – a questo punto un aggiornamento è davvero l’unico modo per difendersi dagli attacchi che sfruttano la falla. Fortunatamente, gli aggiornamenti di Google Chrome vengono distribuiti senza l'intervento dell'utente, quindi la maggior parte degli utenti sarà protetta una volta disponibili le patch.

Secondo l'elenco CWE, gli overflow del buffer generalmente portano a arresti anomali o altri attacchi che rendono il programma interessato non disponibile, incluso l'inserimento del programma in un ciclo infinito. Gli aggressori possono trarre vantaggio dalla situazione sfruttando il crash per eseguire codice arbitrario, tipicamente al di fuori dell’ambito della politica di sicurezza del programma.

"Oltre ai dati utente importanti, gli overflow basati sull'heap possono essere utilizzati per sovrascrivere i puntatori a funzioni che potrebbero vivere in memoria, indirizzandoli al codice dell'aggressore", secondo l'elenco. "Anche nelle applicazioni che non utilizzano esplicitamente puntatori a funzioni, il runtime di solito ne lascerà molti in memoria."

Altre correzioni

Oltre a correggere il difetto di overflow del buffer zero-day, i rilasci di Chrome correggono anche un difetto di confusione di tipi nel motore JavaScript V8 tracciato come CVE-2022-2295 e segnalato il 16 giugno dai ricercatori “avaue” e “Buff3tts” presso S.S.L., secondo il post.

Questo è il terzo difetto di questo tipo nel motore open source utilizzato da Chrome e dai browser web basati su Chromium risolto solo quest'anno. A marzo è stato segnalato un problema separato di confusione di tipi nel motore JavaScript V8 CVE-2022-1096 e sotto attacco attivo ha stimolato una frettolosa patch  da Google.

Poi, ad aprile, la società ha aggiornato il sistema CVE-2022-1364, un altro tipo di errore di confusione che colpisce l'uso della V8 da parte di Chrome su cui gli aggressori si erano già avventati.

Un altro difetto corretto nell'aggiornamento di Chrome di lunedì è un difetto "use-after-free" nella shell di Chrome OS segnalato da Khalil Zhani il 19 maggio e segnalato come CVE-2022-2296, secondo Google. Tutti i difetti corretti nell'aggiornamento di questa settimana hanno ricevuto una valutazione elevata. Gli aggiornamenti includono anche diverse correzioni derivanti da audit interni, fuzzing e altre iniziative, ha affermato Google.

Prima di correggere i difetti del motore JavaScript V8 di Chrome a marzo e aprile, Google a febbraio aveva già corretto un difetto zero-day use-after-free nel componente Animazione di Chrome, tracciato come CVE-2022-0609 che era sotto attacco attivo.