Perché un framework zero-trust è migliore di un modello di sicurezza perimetrale? Guarda ora
Per la seconda volta questo mese, Google ha corretto due falle di sicurezza precedentemente sconosciute o “zero-day” in Chrome che sono già state sfruttate dagli aggressori.
Google ha rilasciato un aggiornamento Chrome del canale stabile per macchine Windows, Mac e Linux per risolvere due difetti zero-day che interessano il browser più popolare sul Web.
L'aggiornamento spinge Chrome fino alla versione 94.0.4606.71. A causa degli attacchi, è prudente che le organizzazioni e i consumatori effettuino l'aggiornamento non appena diventa disponibile. Google afferma che verrà lanciato nei “prossimi giorni/settimane”.
VEDI: Non vuoi essere hackerato? Quindi evita questi tre errori di sicurezza informatica “eccezionalmente pericolosi”
L'aggiornamento include quattro correzioni di sicurezza per Chrome, inclusi i due zero-day. Uno di questi, un difetto di elevata gravità tracciato come CVE-2021-37975, deriva dal motore JavaScript V8 di Google, difficile da proteggere, segnalato da un ricercatore anonimo.
Un altro difetto di media gravità, tracciato come CVE-2021-37976, è una “fuga di informazioni nel core” ed è stato segnalato dal Threat Analysis Group (TAG) di Google con l'assistenza dei ricercatori di sicurezza di Google Project Zero.
“Google è consapevole che gli exploit per CVE-2021-37975 e CVE-2021-37976 esistono in natura”, ha affermato Google nelle note di rilascio.
Questi ultimi due difetti significano che Google ha corretto 12 zero-day in Chrome dall'inizio del 2021. Google ha corretto due zero-day di Chrome il 13 settembre, segnando la sua decima patch zero-day per l'anno.
TAG è il gruppo di Google specializzato nel monitoraggio degli aggressori sponsorizzati dallo stato e ha precedentemente scoperto attività nefaste da parte di hacker nordcoreani e attacchi a iOS e browser tradizionali.
Il ricercatore di Google Project Zero Samuel Groß ha recentemente avviato un progetto per risolvere i bug V8, che ha notato essere particolarmente pericolosi.
“I bug V8 in genere consentono la costruzione di exploit insolitamente potenti”, ha avvertito Groß. Questi bug sono anche resistenti alle moderne mitigazioni assistite da hardware.
I dettagli dei due nuovi bug di Chrome non sono ancora stati aggiunti al tracker “0-day in the wild” di Google Project Zero. Dopo aver aggiunto questi bug di Chrome, l'elenco includerebbe un totale di 48 bug zero-day che sono stati sfruttati in natura dall'inizio del 2021. Questi bug hanno interessato software e hardware di Google, Apple, Adobe, Microsoft, Qualcomm, e ARM.
VEDI: La metà delle aziende non riesce a individuare questi segnali di minacce interne alla sicurezza informatica
Google Project Zero e TAG affermano che quest'anno c'è stato un aumento degli exploit zero-day, ma cosa significa in termini di attacco e difesa è meno chiaro.
“Non esiste una relazione uno a uno tra il numero di 0-day utilizzati in the wild e il numero di 0-day rilevati e divulgati come in the wild. Gli aggressori dietro gli exploit 0-day in genere vogliono che i loro 0-day rimangano nascosti e sconosciuti perché è così che sono più utili”, hanno scritto i ricercatori di sicurezza di Google.
L'aumento degli zero-day potrebbe essere dovuto al fatto che i difensori stanno migliorando nell'identificarli e individuarli. Ma potrebbe anche essere dovuto al fatto che gli aggressori li usano più frequentemente perché ci sono più piattaforme da attaccare e ci sono più strutture commerciali che vendono ai governi l'accesso a zero-day, riducendo così la necessità di competenze tecniche per usarli.
Sicurezza
T-Mobile hack: tutto ciò che devi sapere Recensione di Surfshark VPN: è economico, ma è buono? I migliori browser per la privacy Cyber security 101: proteggi la tua privacy I migliori software e app antivirus Le migliori VPN per uso aziendale e domestico Le migliori chiavi di sicurezza per 2FA La minaccia ransomware è in crescita: cosa deve succedere per impedire che gli attacchi peggiorino? (ZDNet YouTube)
Argomenti correlati:
Security TV Data Management CXO Data Center 