devi aggiornare google chrome!
Buongiorno cari lettori. altro 0-day di google chrome è molto pericoloso.
A partire dal 2020, il browser Google Chrome ha oltre un miliardo di utenti ed è per questo che qualsiasi vulnerabilità se sfruttata nel browser può essere devastante per gli utenti ignari, ma allo stesso tempo, può essere redditizio per i cyber criminali.
Google patch per la falla di Heap Buffer Overflow
I cacciatori di bug Project Zero di Google hanno patchato una vulnerabilità zero-day nel browser Chrome per desktop. Si tratta di una falla di heap buffer overflow classificata come CVE-2021-21148.
La vulnerabilità è stata identificata in JavaScript V8 e WebAssembly di Chrome. Potrebbe consentire a un utente malintenzionato di eseguire qualsiasi codice sul sistema, motivo per cui Google ha esortato gli utenti di Chrome ad aggiornare il browser immediatamente. Ha rilasciato una correzione 88.0.4324.150 per il motore di rendering JavaScript V8 di Windows, Mac e Linux.
Di solito, Google rivela le vulnerabilità dopo che la maggior parte degli utenti hanno aggiornato i loro sistemi con una correzione. Tuttavia, in questo caso, Google ha rivelato che è a conoscenza dei rapporti che "un exploit per CVE-2021-21148 esiste in natura". L'uso della frase esiste in natura è cruciale qui, perché questo significa che i cybercriminali hanno scoperto la falla prima che Google potesse.
L'accesso ai dettagli del bug e ai link può essere mantenuto limitato fino a quando la maggior parte degli utenti viene aggiornata con una correzione. Manterremo anche le restrizioni se il bug esiste in una libreria di terze parti da cui altri progetti dipendono allo stesso modo, ma non hanno ancora risolto, ha detto la società in un post sul blog.
Sei difetti corretti da Google
Mattias Buelens di Google ha segnalato la falla il 24 gennaio 2021, e il 2 febbraio, la società ha affrontato sei falle nel browser Chrome. Questo includeva una falla critica use-after-free in Payments classificata come CVE-2021-21142 e quattro estensioni di alta gravità in Navigation, Fonts, Tab Groups, e Extensions.
È interessante notare che Google ha risolto cinque zero-days del browser Chrome tra il 20 ottobre e il 12 novembre 2020, tutti attivamente sfruttati in natura prima della patch.
Il gruppo Lazarus prende di mira i sistemi Windows?
La rivelazione arriva settimane dopo che Microsoft e Google hanno rivelato i dettagli degli attacchi degli hacker nordcoreani contro i ricercatori di cybersecurity. In quella campagna, che Microsoft ha segnalato il 28 gennaio, gli attaccanti hanno ingannato i ricercatori nell'installazione di una backdoor di Windows attraverso l'ingegneria sociale.
Alcuni ricercatori mirati hanno infettato i loro dispositivi dopo aver visitato un blog di ricerca canaglia su sistemi con patch di Windows 10 o browser Chrome. All'epoca, Google ha rivelato che gli aggressori molto probabilmente hanno sfruttato una falla zero-day di Chrome per compromettere i sistemi.
Anche se non è ancora chiaro se hanno usato la stessa vulnerabilità (CVE-2021-21148) in quella campagna, la tempistica della rivelazione e l'avviso di Google implica che ci potrebbe essere una connessione.
Tuttavia, se siete su Google Chrome aggiornatelo all'ultima versione senza ulteriori ritardi.
spero che questo articolo ti sia piaciuto, e ci vedremo ad un prossimo.
