Aggiornamento della sicurezza di Chrome 98.0.4758.102 con patch per la vulnerabilità sfruttata attivamente
Google ha pubblicato il browser web Chrome 98.0.4758.102 sul canale Stable il 14 febbraio 2022. La nuova versione di Chrome risolve diversi problemi di sicurezza, uno dei quali viene sfruttato attivamente secondo Google.
Le installazioni di Chrome dovrebbero ricevere l’aggiornamento automaticamente nel tempo. Gli amministratori e gli utenti che non vogliono aspettare che ciò accada possono eseguire un controllo manuale degli aggiornamenti per installare immediatamente le patch.
Per farlo, seleziona Menu > Guida > Informazioni su Google Chrome o carica chrome://settings/help direttamente nella barra degli indirizzi del browser web. La pagina che si apre mostra la versione attualmente installata del browser Web ed esegue un controllo degli aggiornamenti. Se viene trovato un aggiornamento, verrà scaricato e installato automaticamente.
Google conferma sul blog Google Chrome Releases dell’azienda che 11 problemi di sicurezza sono stati risolti nella nuova versione di Google Chrome. Il punteggio di gravità più alto è alto, il secondo più alto dopo il critico.
Google menziona solo le vulnerabilità di sicurezza scoperte da ricerche esterne: otto degli undici problemi di sicurezza sono stati scoperti da dipendenti non Google.
[$ 15000][1290008] CVE-2022-0603 alto: da utilizzare gratuitamente in File Manager. Segnalato da Chaoyuan Peng (@ret2happy) il 22-01-2022
[$7000][1273397] CVE-2022-0604 elevato: overflow del buffer dell’heap nei gruppi di schede. Segnalato da Krace il 24-11-2021
[$ 7000][1286940] CVE-2022-0605 elevato: da utilizzare gratuitamente nell’API Webstore. Segnalato da Thomas Orlita il 13-01-2022
[$7000][1288020] CVE-2022-0606 alto: usalo dopo gratis in ANGLE. Segnalato da Cassidy Kim di Amber Security Lab, OPPO Mobile Telecommunications Corp. Ltd. il 17-01-2022
[$TBD][1250655] CVE-2022-0607 elevato: da utilizzare gratuitamente nella GPU. Segnalato da 0x74960 il 17-09-2021
[$NA][1270333] CVE-2022-0608 alto: overflow di numeri interi in Mojo. Segnalato da Sergei Glazunov di Google Project Zero il 16-11-2021
[$NA][1296150] CVE-2022-0609 alto: da utilizzare gratuitamente in Animation. Segnalato da Adam Weidemann e Clément Lecigne del gruppo di analisi delle minacce di Google il 10-02-2022
[$TBD][1285449] Medium CVE-2022-0610: implementazione inappropriata nell’API Gamepad. Segnalato da Anonymous il 08-01-2022
La vulnerabilità CVE-2022-0609, Use after free in Animation, viene sfruttata attivamente secondo Google. Google non menziona la diffusione degli attacchi. Gli utenti di Chrome potrebbero voler aggiornare all’ultima versione il prima possibile per proteggere i propri browser e dati da potenziali attacchi mirati alla vulnerabilità.
Non è chiaro se altri browser basati su Chromium siano interessati. Poiché la vulnerabilità è correlata all’animazione, sembra probabile che anche altri browser basati su Chromium ne siano interessati. Aspettatevi aggiornamenti di sicurezza anche per questi browser nei prossimi giorni e settimane (se interessati).