Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

Google risolve le vulnerabilità zero-day sfruttate durante Pwn2Own 2024

Sandro Sana : 29 Marzo 2024 18:57

Un rapido intervento del team di sviluppo di Google Chrome protegge gli utenti da potenziali attacchi informatici

Pwn2Own è un evento annuale di hacking organizzato da Zero Day Initiative, una piattaforma che promuove la ricerca sulla sicurezza informatica e offre ricompense agli esperti che scoprono e segnalano vulnerabilità nei software più diffusi. L’evento si svolge in diverse categorie, tra cui browser web, sistemi operativi, applicazioni e dispositivi IoT. Gli hacker che riescono a sfruttare le vulnerabilità nei software target ricevono premi in denaro e riconoscimenti, mentre le vulnerabilità scoperte vengono segnalate ai produttori dei software per permettere loro di implementare delle patch di sicurezza. Pwn2Own è considerato un evento prestigioso e competitivo nel campo della sicurezza informatica, in quanto mette alla prova le abilità degli hacker e la robustezza dei software.

Le vulnerabilità zero-day scoperte in Google Chrome

Durante l’edizione 2024 di Pwn2Own, sono state scoperte e sfruttate quattro vulnerabilità zero-day nel browser web Google Chrome. Le vulnerabilità zero-day sono falle di sicurezza sconosciute agli sviluppatori del software e agli utenti stessi, che possono essere sfruttate da hacker malintenzionati per eseguire codice dannoso sui dispositivi degli utenti, compromettendone la sicurezza e la privacy. Le vulnerabilità scoperte in Google Chrome riguardavano il motore di rendering, il gestore delle estensioni, il sandbox e il kernel. Queste vulnerabilità potevano permettere agli hacker di ottenere il controllo del dispositivo dell’utente, di accedere ai dati sensibili, di installare malware o di rubare informazioni personali.

La risposta rapida di Google

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)
    •
    Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Fortunatamente, il team di sviluppo di Google Chrome ha reagito prontamente alle scoperte fatte durante Pwn2Own 2024 e ha rilasciato tempestivamente delle patch per risolvere le vulnerabilità individuate. Questa risposta rapida è fondamentale per proteggere gli utenti da potenziali attacchi informatici e per garantire la sicurezza online. Google ha ringraziato gli hacker che hanno partecipato a Pwn2Own per aver contribuito a migliorare la sicurezza del browser e ha invitato gli utenti a installare gli aggiornamenti appena disponibili. Google ha anche sottolineato il suo impegno per la sicurezza informatica e la sua collaborazione con la comunità degli esperti di sicurezza.

    Il commento di Google sulle patch di sicurezza

    In un post sul suo blog ufficiale, Google ha fornito maggiori dettagli sulle patch di sicurezza rilasciate per risolvere le vulnerabilità zero-day scoperte durante Pwn2Own 2024. Il post riporta il seguente testo:

    The Stable channel has been updated to 123.0.6312.86/.87 for Windows and Mac and 123.0.6312.86 to Linux which will roll out over the coming days/weeks. A full list of changes in this build is available in the Log.\rSecurity Fixes and Rewards\rNote: Access to bug details and links may be kept restricted until a majority of users are updated with a fix. We will also retain restrictions if the bug exists in a third party library that other projects similarly depend on, but haven’t yet fixed.This update includes 7 security fixes. Below, we highlight fixes that were contributed by external researchers. Please see the Chrome Security Page for more information.[$10000][327807820] Critical CVE-2024-2883: Use after free in ANGLE. Reported by Cassidy Kim(@cassidy6564) on 2024-03-03[TBD][328958020] High CVE-2024-2885: Use after free in Dawn. Reported by wgslfuzz on 2024-03-11[N/A][330575496] High CVE-2024-2886: Use after free in WebCodecs. Reported by Seunghyun Lee (@0x10n) of KAIST Hacking Lab, via Pwn2Own 2024 on 2024-03-21[N/A][330588502] High CVE-2024-2887: Type Confusion in WebAssembly. Reported by Manfred Paul, via Pwn2Own 2024 on 2024-03-21We would also like to thank all security researchers that worked with us during the development cycle to prevent security bugs from ever reaching the stable channel.As usual, our ongoing internal security work was responsible for a wide range of fixes:[331221727] Various fixes from internal audits, fuzzing and other initiativesMany of our security bugs are detected using AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer, or AFLInterested in switching release channels? Find out how here. If you find a new issue, please let us know by filing a bug. The community help forum is also a great place to reach out for help or learn about common issues. Srinivas Sista

    Google ha quindi reso noto il numero e la gravità delle vulnerabilità corrette, il nome e la fonte dei ricercatori che le hanno scoperte e segnalate, e i metodi che usa per rilevare e prevenire i bug di sicurezza. Google ha anche fornito dei link utili per gli utenti che vogliono cambiare canale di rilascio, segnalare nuovi problemi o ricevere assistenza. Il post si conclude con la firma di Srinivas Sista, un membro del team di sviluppo di Google Chrome.

    L’importanza di una costante vigilanza e aggiornamenti regolari

    Tuttavia, l’evento Pwn2Own 2024 evidenzia anche l’importanza di una costante vigilanza e aggiornamenti regolari dei software per proteggere gli utenti da minacce informatiche sempre più sofisticate. Gli utenti sono incoraggiati a mantenere i propri browser e altri software sempre aggiornati per ridurre al minimo il rischio di essere vittime di attacchi informatici. Inoltre, gli utenti dovrebbero adottare delle buone pratiche di sicurezza, come usare password forti e diversificate, attivare l’autenticazione a due fattori, evitare di cliccare su link o allegati sospetti, usare una VPN e un antivirus, e verificare la sicurezza dei siti web che visitano. Solo così si può garantire una navigazione sicura e protetta in internet.

    Sandro Sana
    Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA.

    Lista degli articoli
    Visita il sito web dell'autore

    Articoli in evidenza

    25 Aprile: Dalla Resistenza alla Cyber Resistenza – Difendiamo la Libertà Digitale

    Il 25 Aprile, data simbolo della Liberazione italiana dal fascismo, ci ricorda il valore della libertà, conquistata con il sacrificio di partigiani e combattenti. In un’era dominata dal di...

    Le Action Figure della Cyber Security. Red Hot Cyber lancia la serie “Chiama Ammiocuggino!”

    In un mondo dove ogni giorno si registrano migliaia di attacchi informatici, molte aziende continuano a sottovalutare l’importanza della cybersecurity, affidandosi a “sedicenti esperti&#...

    GPT-4 scrive un exploit prima del PoC pubblico. La corsa alla Patch non è mai stata così essenziale

    AI, AI e ancora AI. E sembra che l’intelligenza artificiale giorno dopo giorno ci porti innovazioni sia come difesa ma soprattutto, come attacco. L’intelligenza artificiale è gi...

    HackerHood di RHC Rivela due nuovi 0day sui prodotti Zyxel

    Il collettivo di ricerca in sicurezza informatica HackerHood, parte dell’universo della community di Red Hot Cyber, ha recentemente scoperto due nuove vulnerabilità ...

    A lezione di IA a 6 anni: la Cina prepara i suoi bambini alla rivoluzione dell’intelligenza artificiale

    La Cina introdurrà corsi di intelligenza artificiale per gli studenti delle scuole primarie e secondarie questo autunno. L’iniziativa prevede che i bambini a partire dai sei anni imparino ...

    Categorie
    Segui i corsi di ethical hacking di CyberSecurityUP
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    PRINCIPALI CATEGORIE
    Attacchi Informatici Italiani
    Dark Web & Cybercrime
    0day, bug e Vulnerabilità
    Hacking
    Cybersecurity Italia
    Cyberpolitica & Intelligence

    RISORSE
    Academy
    Rubriche
    Il manifesto di Red Hot Cyber
    Feed RSS
    Contatti

    Copyright @ REDHOTCYBER Srl
    PIVA 17898011006