Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Sandro Sana : 29 Marzo 2024 18:57
Un rapido intervento del team di sviluppo di Google Chrome protegge gli utenti da potenziali attacchi informatici
Pwn2Own è un evento annuale di hacking organizzato da Zero Day Initiative, una piattaforma che promuove la ricerca sulla sicurezza informatica e offre ricompense agli esperti che scoprono e segnalano vulnerabilità nei software più diffusi. L’evento si svolge in diverse categorie, tra cui browser web, sistemi operativi, applicazioni e dispositivi IoT. Gli hacker che riescono a sfruttare le vulnerabilità nei software target ricevono premi in denaro e riconoscimenti, mentre le vulnerabilità scoperte vengono segnalate ai produttori dei software per permettere loro di implementare delle patch di sicurezza. Pwn2Own è considerato un evento prestigioso e competitivo nel campo della sicurezza informatica, in quanto mette alla prova le abilità degli hacker e la robustezza dei software.
Durante l’edizione 2024 di Pwn2Own, sono state scoperte e sfruttate quattro vulnerabilità zero-day nel browser web Google Chrome. Le vulnerabilità zero-day sono falle di sicurezza sconosciute agli sviluppatori del software e agli utenti stessi, che possono essere sfruttate da hacker malintenzionati per eseguire codice dannoso sui dispositivi degli utenti, compromettendone la sicurezza e la privacy. Le vulnerabilità scoperte in Google Chrome riguardavano il motore di rendering, il gestore delle estensioni, il sandbox e il kernel. Queste vulnerabilità potevano permettere agli hacker di ottenere il controllo del dispositivo dell’utente, di accedere ai dati sensibili, di installare malware o di rubare informazioni personali.
CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce.
Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.
Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Fortunatamente, il team di sviluppo di Google Chrome ha reagito prontamente alle scoperte fatte durante Pwn2Own 2024 e ha rilasciato tempestivamente delle patch per risolvere le vulnerabilità individuate. Questa risposta rapida è fondamentale per proteggere gli utenti da potenziali attacchi informatici e per garantire la sicurezza online. Google ha ringraziato gli hacker che hanno partecipato a Pwn2Own per aver contribuito a migliorare la sicurezza del browser e ha invitato gli utenti a installare gli aggiornamenti appena disponibili. Google ha anche sottolineato il suo impegno per la sicurezza informatica e la sua collaborazione con la comunità degli esperti di sicurezza.
In un post sul suo blog ufficiale, Google ha fornito maggiori dettagli sulle patch di sicurezza rilasciate per risolvere le vulnerabilità zero-day scoperte durante Pwn2Own 2024. Il post riporta il seguente testo:
The Stable channel has been updated to 123.0.6312.86/.87 for Windows and Mac and 123.0.6312.86 to Linux which will roll out over the coming days/weeks. A full list of changes in this build is available in the Log.\rSecurity Fixes and Rewards\rNote: Access to bug details and links may be kept restricted until a majority of users are updated with a fix. We will also retain restrictions if the bug exists in a third party library that other projects similarly depend on, but haven’t yet fixed.This update includes 7 security fixes. Below, we highlight fixes that were contributed by external researchers. Please see the Chrome Security Page for more information.[$10000][327807820] Critical CVE-2024-2883: Use after free in ANGLE. Reported by Cassidy Kim(@cassidy6564) on 2024-03-03[TBD][328958020] High CVE-2024-2885: Use after free in Dawn. Reported by wgslfuzz on 2024-03-11[N/A][330575496] High CVE-2024-2886: Use after free in WebCodecs. Reported by Seunghyun Lee (@0x10n) of KAIST Hacking Lab, via Pwn2Own 2024 on 2024-03-21[N/A][330588502] High CVE-2024-2887: Type Confusion in WebAssembly. Reported by Manfred Paul, via Pwn2Own 2024 on 2024-03-21We would also like to thank all security researchers that worked with us during the development cycle to prevent security bugs from ever reaching the stable channel.As usual, our ongoing internal security work was responsible for a wide range of fixes:[331221727] Various fixes from internal audits, fuzzing and other initiativesMany of our security bugs are detected using AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer, or AFLInterested in switching release channels? Find out how here. If you find a new issue, please let us know by filing a bug. The community help forum is also a great place to reach out for help or learn about common issues. Srinivas Sista
Google ha quindi reso noto il numero e la gravità delle vulnerabilità corrette, il nome e la fonte dei ricercatori che le hanno scoperte e segnalate, e i metodi che usa per rilevare e prevenire i bug di sicurezza. Google ha anche fornito dei link utili per gli utenti che vogliono cambiare canale di rilascio, segnalare nuovi problemi o ricevere assistenza. Il post si conclude con la firma di Srinivas Sista, un membro del team di sviluppo di Google Chrome.
Tuttavia, l’evento Pwn2Own 2024 evidenzia anche l’importanza di una costante vigilanza e aggiornamenti regolari dei software per proteggere gli utenti da minacce informatiche sempre più sofisticate. Gli utenti sono incoraggiati a mantenere i propri browser e altri software sempre aggiornati per ridurre al minimo il rischio di essere vittime di attacchi informatici. Inoltre, gli utenti dovrebbero adottare delle buone pratiche di sicurezza, come usare password forti e diversificate, attivare l’autenticazione a due fattori, evitare di cliccare su link o allegati sospetti, usare una VPN e un antivirus, e verificare la sicurezza dei siti web che visitano. Solo così si può garantire una navigazione sicura e protetta in internet.
Sandro SanaNegli ultimi giorni, il collettivo hacktivista italiano Anonymous Italia ha risposto agli attacchi informatici sferrati dal gruppo filorusso NoName057(16) colpendo una serie di obiettivi russi. Gli at...
Gruppo di ricerca MASSGRAVE ha presentato un Exploit chiamato TSforge che consente di attivare qualsiasi versione di Windows a partire da Windows 7, nonché tutte le edizioni di Microsof...
Su BreachForum un utente dallo pseudonimo EDRVendor ha venduto, dopo poche ore dall’annuncio, l’accesso ad una cassetta postale della polizia di stato italiana. Oltre alla mail viene off...
Team di intelligence sulle minacce di Google ha reso pubblica l’informazione sul gruppo di hacker Triplestrength, finora sconosciuto, attivo dal 2020. Il gruppo è composto da poc...
I canali Telegram degli hacker filorussi di NoName057(16) sono stati eliminati da telegram. Ma subito gli attivisti ricreano nuovi canali marchiati con il suffisso “reborn“. Ma...
Copyright @ 2003 – 2024 REDHOTCYBER Srl
PIVA 17898011006
