Ancora exploit attivi in natura per i prodotti delle grandi software house.
Questa volta è il turno di Google, come è stato per Apple, per Microsoft e prima ancora di nuovo Google. Il fenomeno è ormai di natura ciclica. Può essere visto come un fenomeno negativo (per la grande pressione sui software maggiormente utilizzati da noi utenti), ma anche come fenomeno estremamente positivo (le grandi società hanno preso sul serio le minacce è hanno un profilo maggiormente reattivo).
Anche in questo caso si tratta di un bug in Chrome, il popolare browser di Google, presenza indiscussa su molti dispositivi e sistemi: il bug colpisce il motore WebRTC (tecnologia basata su HTML5 per consentire videochat in tempo reale nel browser) e consente agli attaccanti di eseguire codice arbitrario.
Come spesso accade in incidenti di sicurezza gravi, si tratta di un problema di buffer overflow, in particolare afferente la heap memory utilizzata dal motore. Questa falla è stata scoperta dal team Avast Threat Intelligence e catalogata mediante CVE-2022-2294. Si tratta di una vulnerabilità critica con CVSS 8.4. Il problema è un grande classico nello sviluppo software, e viene descritto dal CWE 122 (Common Weakness Enumeration), definizione che comprende il CWE-787 (Out-of-bounds Write) e il CWE-788 (Access of Memory Location After End of Buffer). Insomma qualcosa di non nuovo nel panorama degli incidenti di programmazione ma che evidentemente ancora è lungi dal poter essere escluso dai prodotti industriali di grandi dimensioni come Chrome e tutti gli altri prodotti delle maggiori software house.
Non si sa molto di più di questo, e Google, al solito, risulta taciturna sul fatto (in attesa che il maggior numero di dispositivi ricevano la correzione), tranne per la dichiarazione di consapevolezza sull’esistenza in natura dell’exploit. Quest’anno siamo al quarto intervento reattivo per vulnerabilità il cui exploit è già attivo in natura per Chrome: non è un bel record.
Il problema è stato corretto sia per la versione mobile (Android, versione 103.0.5060.71) di Chrome, che per la versione desktop (versione 103.0.5060.114 per Windows e macOS).
Ovviamente, visto che c’era, Google ha rilasciato anche correzioni per altri problemi al suo browser: il CVE-2022-2295 ed il CVE-2022-2296, entrambi con CVSS 7.7.
Il primo è un problema di confusione tipi (CWE-843, Access of Resource Using Incompatible Type: 'Type Confusion') nel motore JavaScript V8: in questo caso siamo alla terza correzione in un anno a questo motore (dopo CVE-2022-1096 e CVE-2022-1364). Altro record non edificante.
Il secondo è di tipo CWE-416 (use-after-free), simile per modello di attacco allo zero-day corretto a febbraio, sempre in JavaScript V8: il CVE-2022-0609.
Rimaniamo in attesa degli approfondimenti, e naturalmente restiamo fiduciosi in ulteriori miglioramenti nella sicurezza dei software di uso quotidiano da parte di questi giganti dell’informatica.