Un nuovo avviso di sicurezza da parte di Google Chrome ha informato gli utenti di un problema. Ecco di cosa si tratta e come risolverlo.
I primi avvisi di sicurezza di Google Chrome sono stati visualizzati intorno al 15 maggio 2024. Un codice alfanumerico ha avvertito i milioni di utenti che qualcosa non andava. Google da parte sua non ha chiarito i motivi, ma si pensa a un problema di sicurezza piuttosto serio.
Non a caso è stato immediatamente rilasciato un aggiornamento, ma senza ulteriori dettagli. Anche i siti che riportano gli errori, i crash e gli hackeraggi delle app e dei servizi non sono ancora riusciti a definire la gravità dell’avviso di sicurezza.
È chiara una cosa, il codice dell’avviso è CVE-2024-4947 e questo segnala una vulnerabilità “alta”. Cosa fare per evitare problemi? Semplice: installare l’aggiornamento.
Avviso di Google: attenzione alla sicurezza CVE-2024-4947
Google ha dovuto implementare nuovi sistemi di sicurezza dopo aver avuto gravi problemi per tutto il weekend. In particolare è stato colpito dall’errore Google Chrome, che presentava in alcuni casi il codice di avviso di sicurezza: CVE-2024-4947.
La vulnerabilità non è stata descritta con attenzione e non è stato spiegato a cosa si riferisse e né quali potevano essere le conseguenze per gli utenti. Sappiamo però che si trattava di una vulnerabilità “alta”, quindi un danno “grave” alla sicurezza.
Il 13 maggio è stato segnalato il primo bug, che secondo le analisi colpiva il motore JavaScript V8 e WebAssembly. Kaspersky Vasily Berdnikov e Boris Larin hanno spiegato cosa vuol dire una vulnerabilità di quel tipo:
Sorgono quando un programma tenta di accedere a una risorsa con un tipo incompatibile. Può avere conseguenze gravi in quanto consente agli autori delle minacce di eseguire accessi alla memoria oltre i limiti, causare arresti anomali ed eseguire codice arbitrario.
I due ricercatori di anomalie hanno segnalato il grave problema e Google, senza dare ulteriori spiegazioni, ha velocemente messo a lavoro i propri esperti per risolvere la crisi. La società era a conoscenza dell’esistenza di un exploit per CVE-2024-4947, tanto da averne risolti diversi, almeno sette, dall’inizio dell’anno:
- CVE-2024-0519 - Accesso alla memoria fuori dai limiti nella V8
- CVE-2024-2886 - Use-after-free in WebCodecs (dimostrato a Pwn2Own 2024)
- CVE-2024-2887 – Confusione dei tipi in WebAssembly (dimostrata a Pwn2Own 2024)
- CVE-2024-3159 - Accesso alla memoria fuori dai limiti in V8 (dimostrato a Pwn2Own 2024)
- CVE-2024-4671 - Utilizzo dopo-libero in immagini
- CVE-2024-4761 - Scrittura fuori limite nella V8
leggi anche
Come attivare Ok Google su Android e iOs
Come risolvere la vulnerabilità di Google Chrome?
I due esperti ricercatori di anomalie hanno rassicurato degli utenti (ma non tutti). Infatti gli utenti i cui account sono configurati per avere meno diritti utente sul sistema potrebbero essere meno colpiti rispetto a quelli che operano con diritti utente amministrativi.
Microsoft, Brave e Opera stanno lavorando per implementare la correzione sui loro browser basati su Chromium, mentre l’ultima versione desktop di Vivaldi disponibile ne è già dotata. Nel frattempo CVE-2024-4947 è stato corretto in Chrome 125.0.6422.60/.61 (per Windows e Mac) e 125.0.6422.60 (per Linux), insieme a tre ulteriori vulnerabilità.
Come evitare i rischi legati alla crisi di Google Chrome? Come indicato da Google: bisogna fare l’aggiornamento. Per aggiornare Google Chrome:
- aprire Chrome sul computer
- cliccare sui tre punti in alto a destra
- fare clic su “Guida” e poi su “Informazioni su Google Chrome”
- cliccare su “Aggiorna Google Chrome” (se l’opzione non è presente, hai già l’ultima versione)
- cliccare su “Riavvia”
© RIPRODUZIONE RISERVATA