Scopri i nostri percorsi di Hacking e approfitta dell'imperdibile promozione! Scopri di più
Non c’è pace per Google Chrome.
Abbiamo appena finito di descrivere una vulnerabilità zero-day nei suoi confronti che già un’altra è stata rilevata e sanata.
Ancora una volta la vulnerabilità è risultata attivamente sfruttata in precedenza alla scoperta, confermando quanto dicevamo sulla pericolosità di certe minacce.
In questo caso si tratta di una vulnerabilità che colpisce qualcosa di maggiormente sfruttato in tutti i campi di utilizzo del noto browser, ossia la componente open source che è il cuore delle forme moderne del web, ossia il motore JavaScript V8.
L’essere open source di questa componente fallace porta guai naturalmente anche a tutti gli altri browser della ormai ampia famiglia Chromium (come Edge di Microsoft e l’omonimo browser in Linux).
La particolare minaccia ha reso un po’ troppo reticente Google (contrariamente al suo solito), che non ha rilasciato molti dettagli sulla vicenda, probabilmente proprio a causa della ampia finestra di sfruttamento della vulnerabilità che si è aperta dalla scoperta e la consapevolezza di uno sfruttamento già in corso (cerca così di evitare amplificazione delle minacce per “emulazione”).
Di certo si sa che la vulnerabilità è stata identificata come CVE.2022-1096 e spiegata come di tipo “Type Confusion”, che potrebbe richiamare al CWE-843 o al CWE-704, e che è stata sanata con la versione di Chrome/Chromium Versione 99.0.4844.84 (per tutte le piattaforme supportate) e con la versione 99.0.1150.55 di Microsoft Edge (basato sulla versione corretta di Chromium).
Questa tipo di debolezza si crea quando un frammento di codice non esegue verifiche sul tipo di dato che riceve da altra parte del programma, usandolo direttamente: l’assenza di controllo del tipo porta alla “confusione del tipo” suddetta che consente l’utilizzo di dati o funzioni non effettivamente corrette per lo specifico contesto, portando in alcune circostanze ad una “code execution” per dati utilizzato come funzione proprio per assenza di controllo.
La gravità del problema non è stata ufficializzata da un CVSS, ma la modalità di pubblicazione della patch dice molto sulla gravita ipotizzata: la patch è stata pubblicata in “emergenza” nell’arco di 48 ore (Google è sempre abbastanza veloce, ma questo è veramente molto veloce), ed inoltre l’aggiornamento contiene solo soluzione a questo specifico problema e non ad altri (come è solito fare). Il tempo era evidentemente fondamentale per via dello sfruttamento in corso sull’ampia platea di utenti di Chrome.
È quindi molto probabile che la stessa scoperta di questa vulnerabilità sia in effetti nata proprio dall’individuazione del suo sfruttamento in atto.
