Aggiornare. Ora. Questo minuto. Non andare finché non lo fai. Questo è stato il messaggio invadente di Google giovedì. Un exploit Zero-Day era in gioco contro il browser Chrome e non c'era spazio di manovra per gli utenti per ignorarlo finché non fossero di umore migliore.

entro giovedì, Fossbytes , ZDNet e altri siti di osservazione della tecnologia erano dappertutto nella storia. Chrome è un browser estremamente popolare e Google ha un discreto successo nel suo marchio come custode relativamente sicuro di Chrome. Quindi qualsiasi storia contraria ha fatto notizia immediata.

Eri al sicuro se il tuo aggiornamento controlla se avevi l'ultima versione mostrata come 72.0.3626.121.

Chi aveva scoperto la falla di sicurezza CVE-2019-5786? È stato nominato Clement Lecigne del Threat Analysis Group di Google.

Lecigne ha scritto sul blog sulla sicurezza di Google. "Per rimediare alla vulnerabilità di Chrome (CVE-2019-5786), Google ha rilasciato un aggiornamento per tutte le piattaforme Chrome il 1 marzo; questo aggiornamento è stato inviato tramite l'aggiornamento automatico di Chrome. Incoraggiamo gli utenti a verificare che l'aggiornamento automatico di Chrome abbia già aggiornato Chrome alla versione 72.0.3626.121 o successiva."

Così, stavano parlando del tipo di exploit "in the wild, " sconosciuto, senza patch, capace di scatenare complicazioni.

Come Kaspersky Lab spiega il significato di zero-day, "Di solito i creatori del programma sono veloci nel creare una correzione che migliora la protezione del programma, però, a volte gli hacker vengono a conoscenza del difetto per primi e sono pronti a sfruttarlo. Quando questo accade, c'è poca protezione contro un attacco perché il difetto del software è così nuovo."

O, come Sicurezza nuda lo mette, questa è "una vulnerabilità che i Cattivi hanno scoperto come sfruttare prima che i Buoni fossero in grado di trovarla e ripararla da soli, dove "anche gli amministratori di sistema più informati avevano zero giorni durante i quali avrebbero potuto ripararla in modo proattivo".

Questo non era un esperimento divertente; Google era a conoscenza della vulnerabilità sfruttata in natura. Andrew Whalley ha twittato, Prenditi un momento per verificare di avere l'ultima versione di Chrome.

Justin Schuh, Responsabile della sicurezza di Google Chrome, stava anche suonando la tromba per gli utenti di Chrome per verificare l'aggiornamento. Il suo tweet del 5 marzo è stato un annuncio pubblico che non stiamo giocando:"... sul serio, aggiorna le tue installazioni di Chrome... come in questo momento." Perché, Che fretta c'è? Perché Chrome Zero-Day era sotto attacchi attivi. Catalin Cimpanu in ZDNet ha detto che il bug corretto era sotto attacchi attivi al momento della patch.

Adash Verma in Fossbytes disse, "Mentre i dettagli sono scarsi, sappiamo che il difetto riguarda la gestione della memoria nel Filereader di Chrome, che è un'API che consente alle app Web di leggere il contenuto dei file archiviati sui computer degli utenti."

Schuh ha twittato:"Questo nuovo exploit è diverso, in quella catena iniziale mirava direttamente al codice Chrome, e quindi ha richiesto all'utente di riavviare il browser dopo il download dell'aggiornamento."

A che livello era la minaccia CVE-2019-5786? è stato etichettato come "Alto". ZDNet ha affermato che Google ha descritto il difetto di sicurezza come un errore di gestione della memoria nel FileReader di Google Chrome, un'API Web che consente alle app Web di leggere il contenuto dei file archiviati sul computer dell'utente.

Ecco cosa ha spiegato Abner Li in 9to5Google . "Questo particolare attacco coinvolge l'API FileReader che consente ai siti Web di leggere file locali, mentre la classe di vulnerabilità 'Use after-free', nel peggiore dei casi, consente l'esecuzione di codice dannoso."

Che cosa significa, vulnerabilità use-after-free? Si verifica un tipo di errore di memoria quando un'app tenta di accedere alla memoria dopo che è stata liberata/eliminata dalla memoria allocata di Chrome, disse Cimpanu. Ha aggiunto che il flusso ha comportato un errore di gestione della memoria nel FileReader di Google Chrome. Cimpanu ha affermato che l'API Web è stata inclusa nei principali browser in cui le app Web leggono il contenuto dei file archiviati sul computer dell'utente.

Ha detto che una gestione errata di questo tipo di operazione di accesso alla memoria può portare all'esecuzione di codice dannoso.

Lungo e corto, Google è uscito con una correzione per il difetto del giorno zero. Lungo e breve, una correzione è già stata rilasciata

Google ha dichiarato che "l'accesso ai dettagli dei bug e ai collegamenti può essere limitato fino a quando la maggior parte degli utenti non viene aggiornata con una correzione. Manterremo anche le restrizioni se il bug esiste in una libreria di terze parti da cui dipendono in modo simile altri progetti, ma non ho ancora risolto".

Nel quadro della sicurezza del browser più ampio, è probabile che gli osservatori tecnologici considerino ancora Chrome come uno dei più sicuri in circolazione. DataHand ha sottolineato che "il gigante dei motori di ricerca ha investito molte risorse nella protezione del browser negli ultimi anni e non ci sono state molte violazioni della sicurezza".

Ciò nonostante, l'ambiente di sicurezza deve sopravvivere su una regola cardinale:mai dire mai alla possibilità di nuovi attacchi. Quale browser è completamente infallibile? Vale la pena guardare, anche se, è quanto possono essere abili i proprietari del browser nell'affrontare le minacce e nel fornire soluzioni.

Ryan Whitwam, ExtremeTech :"I browser contengono così tanto della nostra vita digitale ora che qualsiasi vulnerabilità è potenzialmente disastrosa. Fortunatamente, è molto raro che individui online nefasti rilevino una grave vulnerabilità prima di Google o della sicurezza esterna ricercatori ...È stato il gruppo di analisi delle minacce di Google a individuare il difetto in Chrome il 27 febbraio."

© 2019 Scienza X Rete