Aggiornamenti recenti Settembre 20th, 2024 9:00 AM
Ago 04, 2022 Redazione news News, RSS, Vulnerabilità 0
L’ultima versione di Chrome, pubblicata questa settimana (104.0.5112.79 per Mac/Linux e 104.0.5112.79/80/81 per Windows) contiene una serie di correzioni e miglioramenti, tra cui la risoluzione di 27 bug.
Come sempre, a scoprire le vulnerabilità del browser non sono state solo le persone che lavorano per Google ma anche ricercatori di tutto il mondo, stimolati a individuare i bug da ingenti premi economici.
Il premio più alto, di 15.000 dollari, è stato ottenuto da un ricercatore anonimo che ha scoperto una vulnerabilità UAF (Use-After-Free) nel componente Omnibox, identificata come CVE-2022-2603.
Questo tipo di vulnerabilità è legato all’uso non corretto della memoria dinamica durante il funzionamento del programma. Se dopo aver liberato una posizione di memoria, il software non cancella il puntatore a essa, un aggressore può sfruttare l’errore per hackerare il programma. Le UAF sono spesso sfruttate per uscire dalla sandbox del browser.
Sempre legati a bug di questa tipologia, questa volta identificati nel componente Safe Browsing (CVE-2022-2604), nell’API Managed devices (CVE-2022-2606) e nel componente WebUI (CVE-2022-2620) sono stati i premi dei ricercatori Nan Wang e Guang Gong di 360 Alpha Lab. Hanno ottenuto rispettivamente 10.000, 5.000 e 2.000 dollari per le loro segnalazioni.
A differenza degli altri citati, tutti di alto livello di gravità, il bug CVE-2022-2620 è di livello medio. L’individuazione di varie altre vulnerabilità UAF da parte di diversi analisti è stata premiata con importi tra i 1000 e i 5000 dollari e per una non è stata ancora determinata l’entità della ricompensa.
Tra i bug di grave entità c’è anche una vulnerabilità Out-of-bounds read nel componente Dawn (CVE-2022-2605) segnalata da Looben Yang e premiata con $7.000. Le vulnerabilità Out-of-bounds possono essere sfruttate per leggere dati al di fuori del buffer, permettendo ai pirati di accedere a informazioni sensibili memorizzate in altre posizioni della memoria o causare un crash del sistema.
In totale i premi assegnati per le vulnerabilità risolte da questa versione hanno raggiunto un valore di $90.000. Nessuna di esse sembra essere stata sfruttata in attacchi.
Ott 05, 2023 0
Mar 07, 2023 0
Set 29, 2022 0
Ago 31, 2022 0
Set 20, 2024 0
Set 19, 2024 0
Set 18, 2024 0
Set 17, 2024 0
Set 20, 2024 0
Secondo il report del primo trimestre 2024 di Cisco Talos...Set 19, 2024 0
Ora più che mai le aziende si trovano nel mirino dei...Set 18, 2024 0
Negli ultimi tempi gli abusi “transitivi” di...Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...Set 06, 2024 0
Il quishing non è una minaccia nuova, ma negli ultimi...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Set 20, 2024 0
Secondo il report del primo trimestre 2024 di CiscoSet 17, 2024 0
Pochi giorni fa il Port of Seattle, l’agenzia...Set 16, 2024 0
I ricercatori di Doctor Web hanno scoperto Vo1d, unSet 16, 2024 0
Nel corso dell’ultima settimana, il CERT-AGID ha...Set 13, 2024 0
I ricercatori di Aqua Nautilus hanno individuato un nuovo...