Scoperte due gravi vulnerabilità in Google Chrome

05/11/2019

Chrome Vulnerabilità

Nei giorni scorsi, Google Chrome ha rilasciato un nuovo aggiornamento di sicurezza per correggere due gravi vulnerabilità.

Le vulnerabilità colpiscono le versioni di Chrome per Windows, Mac e Linux e, anche se molto diverse tra loro, sono entrambe di tipo “use-after-free” ovvero consentono ad un utente malintenzionato di modificare i dati presenti in memoria e acquisire privilegi invitando l’utente a visualizzare una pagina web malevola.

Alle vulnerabilità è stato assegnato rispettivamente il codice CVE-2019-13720 e CVE-2019-13721.

Nel dettaglio, la CVE-2019-13721 è stata scoperta dal ricercatore bananapenguin e riguarda un modulo software usato da Chrome per riprodurre l’audio, mentre la CVE-2019-13720, scoperta dai ricercatori di Kaspersky, riguarda la libreria PDFium che Chrome usa per mostrare i file PDF e le relative anteprime di stampa.

Quest’ultima viene sfruttata da un exploit che, attraverso la manipolazione della memoria, ottiene l’autorizzazione a leggere e scrivere dati sul dispositivo che utilizza immediatamente per scaricare, decrittografare ed eseguire  malware.

Nel bollettino ufficiale Chrome consiglia di procedere quanto prima all’aggiornamento del browser alla versione 78.0.3904.87 poiché tutte le versioni precedenti sono da considerarsi insicure.