Un bug critico sulla libreria VP8 in Google Chrome ha consentito di eseguire codice remoto agli hacker di stato

Redazione RHC : 28 Settembre 2023 18:02

Google ha rilasciato patch di emergenza per risolvere una vulnerabilità zero-day nel browser Chrome. Il problema è già stato sfruttato attivamente e si consiglia a tutti gli utenti di installare gli aggiornamenti il ​​prima possibile.

Secondo il bollettino ufficiale sulla sicurezza, la vulnerabilità ha ricevuto il CVE-2023-5217 e gli esperti di Google sono consapevoli dell’esistenza di un relativo exploit.

Il bug è stato risolto con il rilascio della versione 117.0.5938.132 di Google Chrome, già disponibile per gli utenti Windows, Mac e Linux di tutto il mondo nel canale Stable Desktop.

Corso sulla NIS2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce. Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.

Accedi alla pagina del corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.

Per un periodo limitato, potrai utilizzare il COUPON NIS-84726 che ti darà diritto ad uno sconto del 20% sul prezzo di copertina del corso
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo

È noto che la vulnerabilità è stata scoperta all’inizio di questa settimana dai ricercatori del Google Threat Analysis Group (TAG) ed è associata a un heap buffer overflow in VP8 della libreria di codec video open source libvpx. L’impatto del problema può variare dal crash dell’applicazione all’esecuzione arbitraria di codice sul sistema della vittima.

Gli esperti di Google TAG sono noti per identificare frequentemente i bug 0-day utilizzati negli attacchi di spionaggio mirati da parte di hacker “governativi” in tutto il mondo, che spesso prendono di mira giornalisti, attivisti, politici dell’opposizione e così via. Questa volta, anche Maddie Stone, specialista di Google TAG, ha avvertito che la vulnerabilità CVE-2023-5217 veniva utilizzata per installare spyware sui dispositivi delle vittime.

Nonostante l’ultimo problema sia già stato utilizzato in attacchi, gli esperti di Google non hanno ancora fornito ulteriori dati su questi incidenti. Pertanto, l’azienda concede agli utenti più tempo per installare le patch per proteggerli da potenziali attacchi.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.