Il motivo si saprà. E in questo momento interessa quanta basta. L’importante è aggiornare il browser di Google. A dirlo è lo stesso colosso di Mountain View, prima con una nota ufficiale, alquanto allarmante, poi con una patch.
Il browser web sviluppato da Google, basato sul motore di rendering Blink è stato colpito da un bug talmente grave, che l’update è stato considerato di emergenza, volto a risolvere una vulnerabilità zero-day considerata ad alto rischio ed etichettata come CVE-2022-3075.
Google ha rilasciato Chrome 105.0.5195.102 per utenti Windows, Mac e Linux per risolvere un singolo difetto di sicurezza di elevata gravità, il sesto Chrome zero-day sfruttato negli attacchi “patchati” quest’anno. Come spiegato dettagliatamente in una nota ufficiale sul blog di Big G.
Una convalida dei dati insufficiente in Mojo
“Google è a conoscenza di segnalazioni secondo cui esiste un exploit per CVE-2022-3075 in natura“, ha affermato la società in un avviso di sicurezza pubblicato venerdì. Questa nuova versione viene lanciata nel canale Stable Desktop. Il colosso di Mountain View afferma che raggiungerà l’intera base di utenti entro pochi giorni o settimane. Era immediatamente disponibile quando BleepingComputer ha verificato la presenza di nuovi aggiornamenti accedendo al menu Chrome> Guida> Informazioni su Google Chrome. Il browser web verificherà automaticamente la presenza di nuovi aggiornamenti e li installerà automaticamente dopo il prossimo avvio.
Il bug zero-day corretto (CVE-2022-3075) è una vulnerabilità di gravità elevata causata da una convalida dei dati insufficiente in Mojo, una raccolta di librerie di runtime che facilita il passaggio dei messaggi attraverso limiti arbitrari tra processi e processi. Google afferma che questo problema di sicurezza è stato rilevato da un ricercatore di sicurezza che ha scelto di segnalarlo in modo anonimo.
Anche se il fornitore del browser californiano afferma che lo zero-day è stato sfruttato in natura, deve ancora condividere dettagli tecnici o informazioni su questi incidenti. “L’accesso ai dettagli e ai collegamenti dei bug – continua la nota ufficiale di Google – può essere limitato fino a quando la maggior parte degli utenti non viene aggiornata con una correzione“.
Ritardando il rilascio di ulteriori informazioni su questi attacchi, Google sembrerebbe puntare probabilmente a fornire agli utenti di Chrome del tempo sufficiente per aggiornare e prevenire tentativi di sfruttamento, almeno fino a quando più autori delle minacce non creeranno i propri exploit da implementare negli attacchi.
“Manterremo anche le restrizioni se il bug esiste in una libreria di terze parti da cui dipendono in modo simile altri progetti – conclude Google – ma non sono ancora stati risolti“.