Sandro Sana : 29 Marzo 2024 18:57
Un rapido intervento del team di sviluppo di Google Chrome protegge gli utenti da potenziali attacchi informatici
Pwn2Own è un evento annuale di hacking organizzato da Zero Day Initiative, una piattaforma che promuove la ricerca sulla sicurezza informatica e offre ricompense agli esperti che scoprono e segnalano vulnerabilità nei software più diffusi. L’evento si svolge in diverse categorie, tra cui browser web, sistemi operativi, applicazioni e dispositivi IoT. Gli hacker che riescono a sfruttare le vulnerabilità nei software target ricevono premi in denaro e riconoscimenti, mentre le vulnerabilità scoperte vengono segnalate ai produttori dei software per permettere loro di implementare delle patch di sicurezza. Pwn2Own è considerato un evento prestigioso e competitivo nel campo della sicurezza informatica, in quanto mette alla prova le abilità degli hacker e la robustezza dei software.
Durante l’edizione 2024 di Pwn2Own, sono state scoperte e sfruttate quattro vulnerabilità zero-day nel browser web Google Chrome. Le vulnerabilità zero-day sono falle di sicurezza sconosciute agli sviluppatori del software e agli utenti stessi, che possono essere sfruttate da hacker malintenzionati per eseguire codice dannoso sui dispositivi degli utenti, compromettendone la sicurezza e la privacy. Le vulnerabilità scoperte in Google Chrome riguardavano il motore di rendering, il gestore delle estensioni, il sandbox e il kernel. Queste vulnerabilità potevano permettere agli hacker di ottenere il controllo del dispositivo dell’utente, di accedere ai dati sensibili, di installare malware o di rubare informazioni personali.
Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Fortunatamente, il team di sviluppo di Google Chrome ha reagito prontamente alle scoperte fatte durante Pwn2Own 2024 e ha rilasciato tempestivamente delle patch per risolvere le vulnerabilità individuate. Questa risposta rapida è fondamentale per proteggere gli utenti da potenziali attacchi informatici e per garantire la sicurezza online. Google ha ringraziato gli hacker che hanno partecipato a Pwn2Own per aver contribuito a migliorare la sicurezza del browser e ha invitato gli utenti a installare gli aggiornamenti appena disponibili. Google ha anche sottolineato il suo impegno per la sicurezza informatica e la sua collaborazione con la comunità degli esperti di sicurezza.
In un post sul suo blog ufficiale, Google ha fornito maggiori dettagli sulle patch di sicurezza rilasciate per risolvere le vulnerabilità zero-day scoperte durante Pwn2Own 2024. Il post riporta il seguente testo:
The Stable channel has been updated to 123.0.6312.86/.87 for Windows and Mac and 123.0.6312.86 to Linux which will roll out over the coming days/weeks. A full list of changes in this build is available in the Log.\rSecurity Fixes and Rewards\rNote: Access to bug details and links may be kept restricted until a majority of users are updated with a fix. We will also retain restrictions if the bug exists in a third party library that other projects similarly depend on, but haven’t yet fixed.This update includes 7 security fixes. Below, we highlight fixes that were contributed by external researchers. Please see the Chrome Security Page for more information.[$10000][327807820] Critical CVE-2024-2883: Use after free in ANGLE. Reported by Cassidy Kim(@cassidy6564) on 2024-03-03[TBD][328958020] High CVE-2024-2885: Use after free in Dawn. Reported by wgslfuzz on 2024-03-11[N/A][330575496] High CVE-2024-2886: Use after free in WebCodecs. Reported by Seunghyun Lee (@0x10n) of KAIST Hacking Lab, via Pwn2Own 2024 on 2024-03-21[N/A][330588502] High CVE-2024-2887: Type Confusion in WebAssembly. Reported by Manfred Paul, via Pwn2Own 2024 on 2024-03-21We would also like to thank all security researchers that worked with us during the development cycle to prevent security bugs from ever reaching the stable channel.As usual, our ongoing internal security work was responsible for a wide range of fixes:[331221727] Various fixes from internal audits, fuzzing and other initiativesMany of our security bugs are detected using AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer, or AFLInterested in switching release channels? Find out how here. If you find a new issue, please let us know by filing a bug. The community help forum is also a great place to reach out for help or learn about common issues. Srinivas Sista
Google ha quindi reso noto il numero e la gravità delle vulnerabilità corrette, il nome e la fonte dei ricercatori che le hanno scoperte e segnalate, e i metodi che usa per rilevare e prevenire i bug di sicurezza. Google ha anche fornito dei link utili per gli utenti che vogliono cambiare canale di rilascio, segnalare nuovi problemi o ricevere assistenza. Il post si conclude con la firma di Srinivas Sista, un membro del team di sviluppo di Google Chrome.
Tuttavia, l’evento Pwn2Own 2024 evidenzia anche l’importanza di una costante vigilanza e aggiornamenti regolari dei software per proteggere gli utenti da minacce informatiche sempre più sofisticate. Gli utenti sono incoraggiati a mantenere i propri browser e altri software sempre aggiornati per ridurre al minimo il rischio di essere vittime di attacchi informatici. Inoltre, gli utenti dovrebbero adottare delle buone pratiche di sicurezza, come usare password forti e diversificate, attivare l’autenticazione a due fattori, evitare di cliccare su link o allegati sospetti, usare una VPN e un antivirus, e verificare la sicurezza dei siti web che visitano. Solo così si può garantire una navigazione sicura e protetta in internet.
Il 25 Aprile, data simbolo della Liberazione italiana dal fascismo, ci ricorda il valore della libertà, conquistata con il sacrificio di partigiani e combattenti. In un’era dominata dal di...
In un mondo dove ogni giorno si registrano migliaia di attacchi informatici, molte aziende continuano a sottovalutare l’importanza della cybersecurity, affidandosi a “sedicenti esperti&#...
AI, AI e ancora AI. E sembra che l’intelligenza artificiale giorno dopo giorno ci porti innovazioni sia come difesa ma soprattutto, come attacco. L’intelligenza artificiale è gi...
Il collettivo di ricerca in sicurezza informatica HackerHood, parte dell’universo della community di Red Hot Cyber, ha recentemente scoperto due nuove vulnerabilità ...
La Cina introdurrà corsi di intelligenza artificiale per gli studenti delle scuole primarie e secondarie questo autunno. L’iniziativa prevede che i bambini a partire dai sei anni imparino ...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006