Nei giorni scorsi Google ha presentato ufficialmente l’aggiornamento per il browser Chrome alla versione 117.0.5938.132 nel canale Stable Desktop (Windows, Mac e Linux) che risolve un totale di dieci vulnerabilità, tre delle quali particolarmente importanti: CVE-2023-5217, CVE-2023-5186, CVE-2023-5187.
La vulnerabilità zero-day
La più critica di queste vulnerabilità, identificata come CVE-2023-5217, è stata riconosciuta come un Heap buffer overflow nella codifica vp8 della libreria codec video libvpx e segnalata al team di sviluppo di Chrome da Clement Lecigne, membro del Threat Analysis Group (TAG) di Google, pochi giorni prima del rilascio della patch. Il difetto potrebbe portare all’esecuzione arbitraria di codice.
Sfruttamento in natura
Tale vulnerabilità zero-day sarebbe stata sfruttata da un fornitore di spyware commerciale: Maddie Stone di Google TAG ha rivelato in un post su X che la vulnerabilità zero-day sarebbe stata sfruttata per installare spyware.
Inoltre “Google è a conoscenza dell’esistenza di un exploit per CVE-2023-5217“, si legge sul bollettino.
Aggiornare subito
L’urgenza con cui Google ha risposto a questa vulnerabilità zero-day sottolinea la gravità della minaccia. Pertanto è quanto mai imperativo per gli utenti di Google Chrome mantenere aggiornato il browser e prestare sempre la massima attenzione durante la navigazione sul web.
L’aggiornamento è già disponibile. In ogni caso il browser Web dovrebbe verificare automaticamente la presenza di nuovi aggiornamenti installandoli automaticamente dopo il successivo avvio.
Si consiglia anche per i browser basati su Chromium (Microsoft Edge, Brave, Opera, etc) di applicare le correzioni non appena disponibili.
Nel frattempo anche Mozilla ha risolto lo stesso problema con un aggiornamento nelle versioni Firefox 118.0.1, Firefox ESR 115.3.1, Firefox Focus per Android 118.1 e Firefox per Android 118.1.