Google ha aggiornato la versione stabile di Chrome alla release 117.0.5938.132 per Windows, Mac e Linux. Questo aggiornamento include dieci correzioni di sicurezza. Secondo Google esiste un exploit attivo per una delle vulnerabilità corrette, il che significa che i criminali informatici sono a conoscenza della vulnerabilità e la stanno utilizzando.

Google non fornisce mai molte informazioni sulle vulnerabilità, ma dalla pagina di aggiornamento sono emersi alcuni particolari importanti. La falla zero-day patchata in questo aggiornamento è elencata come CVE-2023-5217 ed è descritta come un heap buffer overflow nella codifica vp8 di libvpx.

Un buffer overflow è un tipo di vulnerabilità software che si verifica quando un’area di memoria all’interno di un’applicazione software raggiunge il suo limite di indirizzo e scrive in una regione di memoria adiacente. Due aree comuni che vengono prese di mira per gli overflow sono lo stack e l’heap.

chrome 0day

L’heap è un’area di memoria resa disponibile per l’uso da parte del programma. Il programma può richiedere blocchi di memoria da utilizzare all’interno dell’heap. Per allocare un blocco di una certa dimensione, il programma fa una richiesta esplicita chiamando l’operazione di allocazione dell’heap.

La libreria open source di codec video libvpx è l’implementazione software di riferimento per i formati di codifica video VP8 e VP9. Secondo quanto riportato da Google, la falla di sicurezza risiede nella parte della libreria dedicata alla codifica VP8. Lo sfruttamento della vulnerabilità avviene quando un programma utilizza un metodo per allocare o inizializzare una risorsa ma un metodo incompatibile accede a tale risorsa, fornendo potenzialmente un accesso non protetto alla memoria del browser.

Questi attacchi possono essere sfruttati per compromettere completamente un dispositivo vulnerabile e l’enorme base di utenti di Chrome rende il browser di Google un obiettivo molto alettante per i cybercriminali. Libvpx, che fa parte del progetto WebM, è utilizzato in molte altre applicazioni e quindi potrebbero arrivare altri aggiornamenti.