Un tecnico di Web-Security, Rajvardhan Agarwal, ha pubblicato sul suo account Twitter un link GitHub a quella che sembrerebbe una nuova falla nei browser che si basano su Chromium: il motore pulsante di browser come Chrome, Microsoft Edge, Vivaldi e altri.
La vulnerabilità è definita di tipo 0-day proprio perché sono passati zero giorni da quando è stata riconosciuta dallo sviluppatore. Quindi questi ha “zero giorni” per riparare la falla prima che qualcuno possa scrivere un exploit per essa. Nel momento in cui il bug viene risolto, lo 0-day perde parte della sua originale importanza perché non può più essere usato contro i sistemi aggiornati.
Non c’è da preoccuparsi
Agarwal scrive ancora che la vulnerabilità è stata eliminata nell’ultimo aggiornamento al motore JavaScript V8. Ancora non sappiamo però quando questo aggiornamento raggiungerà i nostri dispositivi. La prossima versione di Google Chrome sarà la numero 90 e, ovviamente, apporterà la modifica che ripara a questa vulnerabilità. La data di uscita ancora non è stata fissata, però si attende nel breve periodo.
Con questa dimostrazione si vede che la vulnerabilità, se inserita nel JavaScript del browser, può avviare la calcolatrice. Questo è un piccolo esempio per dimostrare che all’interno del browser, da remoto si può far avviare qualsiasi eseguibile.
Questa vulnerabilità è la stessa usata dai ricercatori Bruno Keith e Niklas Baumstark di Dataflow Security, per violare Google Chrome e Microsoft Edge nella gara tra hacker, del Pwn2Own 2021
Unitevi alla nostra community su Facebook, oppure al nostro canale Telegram per restare sempre aggiornati su tutte le news.