Nuova release di Google Chrome corregge multiple vulnerabilità

02/08/2019

Browser Chrome Vulnerabilità

Google ha rilasciato la versione 76.0.3809.87 del suo browser Chrome.

L’aggiornamento, valido per sistemi operativi Windows, macOS e Linux, risolve diverse vulnerabilità di sicurezza:

  • Esecuzione arbitraria di codice remoto
  • Priviledge escalation
  • Denial of service

di cui 5 sono classificate di gravità elevata. In totale l’aggiornamento contiene 43 fix di sicurezza i cui dettagli e i relativi CVE sono riportati di seguito:

  • [High] Use-after-free in offline page fetcher (CVE-2019-5850)
  • [High] Use-after-free in PDFium (CVE-2019-5860)
  • [High] Memory corruption in regexp length check (CVE-2019-5853)
  • [High] Use-after-poison in offline audio context (CVE-2019-5851)
  • [High] res: URIs can load alternative browsers (CVE-2019-5859)
  • [Medium] Insufficient checks on filesystem: URI permissions (CVE-2019-5856)
  • [Medium] Use-after-free in WebUSB on Windows (CVE-2019-5863)
  • [Medium] Integer overflow in PDFium (CVE-2019-5855)
  • [Medium] Site isolation bypass from compromised renderer (CVE-2019-5865)
  • [Low] Insufficient filtering of Open URL service parameters (CVE-2019-5858)
  • [Low] Insufficient port filtering in CORS for extensions (CVE-2019-5864)
  • [Low] AppCache not robust to compromised renderers (CVE-2019-5862)
  • [Low] Click location incorrectly checked (CVE-2019-5861)
  • [Low] Comparison of -0 and null yields crash (CVE-2019-5857)
  • [Low] Integer overflow in PDFium text rendering (CVE-2019-5854)
  • [Low] Object leak of utility functions (CVE-2019-5852)
  • Various fixes from internal audits, fuzzing and other initiatives

Per mitigare eventuali rischi di sicurezza, il CERT-PA raccomanda quindi l’immediata applicazione dell’aggiornamento tramite il canale ufficiale Google.

Per approfondimenti è possibile consultare l’avviso pubblicato sul canale Chrome Releases: Stable Channel Update for Desktop.