Google, abbiamo un problema. O forse sarebbe meglio dire problemone visto che lo stesso colosso di Mountain View è dovuto uscire di fretta e fuori con un update di emergenza.
E’ di pochi giorni fa il rilascio di Big G di un update di sicurezza per la versione desktop del browser Web Chrome, all’ottava vulnerabilità zero-day sfruttata negli attacchi di quest’anno. 
Il difetto ad alta gravità non è affatto di poco conto, visto che è stato tracciato come CVE-2022-4135, o per meglio dire un heap buffer overflow nella GPU, scoperto da Clement Lecigne del Threat Analysis Group di Google lo scorso 22 novembre. “Google è a conoscenza dell’esistenza di un exploit per CVE-2022-4135”, si legge nell’avviso di aggiornamento, a conferma del nuovo pericolo che sta terrorizzando gli utenti che usano il browser web sviluppato da Google, basato sul motore di rendering Blink. Che non sono affatto pochi.
Una vulnerabilità della memoria ancora esistente
Poiché gli utenti hanno bisogno di tempo per applicare l’aggiornamento di sicurezza alle loro installazioni di Chrome, Google ha nascosto i dettagli sulla vulnerabilità per impedire l’espansione del suo sfruttamento dannoso, lasciando andare però a questa spiegazione ufficiale. “L’accesso ai dettagli e ai collegamenti del bug può essere limitato fino a quando la maggior parte degli utenti non viene aggiornata con una correzione – avvisano da Google – manterremo anche le restrizioni se il bug esiste in una libreria di terze parti da cui dipendono in modo simile altri progetti, ma non sono ancora stati risolti”.
In generale, l’heap buffer overflow è una vulnerabilità della memoria che comporta la scrittura dei dati in posizioni proibite (solitamente adiacenti) senza controllo. Aggressori e cyber criminali potrebbero utilizzare l’heap buffer overflow per sovrascrivere la memoria di un’applicazione, ma anche per manipolarne il percorso di esecuzione, con conseguente accesso illimitato alle informazioni o esecuzione di codice arbitrario. Da qui il consiglio, anche urgente, per agli utenti di Chrome: eseguire l’aggiornamento alla versione 107.0.5304.121/122 per Windows e 107.0.5304.122 per Mac e Linux, che risolve CVE-2022-4135. Come? Attraverso un percorso in pianura. Senza ostacoli e diretto. Vai su Impostazioni → Informazioni su Chrome → Attendi il completamento del download dell’ultima versione → Riavvia il programma. Fatto.
La versione 107.0.5304.121/122 di Chrome rilasciato da Google corregge l’ottava vulnerabilità zero-day sfruttata attivamente in questo 2022 che ormai sta volgendo al termine, confermando tutte le complessità di un anno alquanto difficile e indicando il grande interesse degli aggressori nei confronti del browser ampiamente utilizzato.
