Vulnerabilità Zero-Day – Google Chrome – sfruttata in-the-wild

06/03/2019

0day Chrome Patch Vulnerabilità

 

Un ricercatore di sicurezza del Threat Analysis Group di Google ha scoperto una vulnerabilità di “alta gravità” nel browser Chrome la quale potrebbe consentire agli attaccanti di portare a termine attacchi di tipo “remote code execution” e prendere  il controllo completo del sistema.

La vulnerabilità, identificata dal CVE-2019-5786, è di tipo user-after-free e riguarda il componente File Reader del browser Chrome con impatto sui sistemi operativi: Microsoft Windows, Apple macOS e Linux.

La vulnerabilità “use-after-free” è una tipico bug di corruzione della memoria che consente a un utente non privilegiato di scalare i privilegi su un sistema o software interessato. La falla nel componente “FileReader” potrebbe consentire agli aggressori non autenticati di ottenere privilegi sul browser Chrome, consentendo loro di sfuggire alle protezioni sandbox ed eseguire codice arbitrario sul sistema di destinazione.

Il componente “FileReader” è un’API standard progettata per consentire alle applicazioni Web di leggere in modo asincrono il contenuto di file (o buffer di dati non elaborati) memorizzati sul computer dell’utente, utilizzando gli oggetti “File” o “Blob” per specificare il file oi dati da leggere.

Per sfruttare la vulnerabilità un utente malintenzionato potrebbe invitare la vittima ad aprire una pagina web appositamente predisposta per sfruttare la vulnerabilità, senza necessità di ulteriori interazioni.

Google ha già rilasciato la patch agli utenti in un aggiornamento stabile di Chrome 72.0.3626.121 per i sistemi operativi Windows, Mac e Linux.

Dal momento che è stata rilevata l’esistenza di un exploit privato, oltre ad attacchi attivi finalizzati a sfruttare la falla, il CERT-PA consiglia di procedere quanto prima possibile all’aggiornamento della versione di Google Chrome mediante l’apposita funzionalità integrata nel browser.