Vulnerabilità su Google Chrome scoperte al Pwn2Own Vancouver 2024

PROTO: N240406

CERT-Yoroi informa che sono state rese note 4 vulnerabilità, di cui una con gravità critica, su Google che consentono agli aggressori di eseguire del codice da remoto arbitrario sul noto browser Google Chrome.

Nello specifico, all’interno del security advisory pubblicato dal vendor, vengono elencate le 4 vulnerabilità che affliggono le versioni del software precedenti alla 123.0.6312.86 e si strutturano nel seguente modo:

• CVE-2024-2883: Vulnerabilità critica di tipo “Use-After-Free (UAF)” che affligge “ANGLE“, libreria open-source utilizzata per fornire supporto all'accelerazione hardware per le istruzioni WebGL. Tale falla si verifica quando un programma tenta di leggere o scrivere in una memoria che è già stata liberata, consentendo ad un utente malintenzionato remoto di sfruttare potenzialmente la corruzione dell'heap tramite una pagina HTML predisposta;
• CVE-2024-2885: Falla di tipo “Use-After-Free (UAF)” presente in “Dawn“, un’implementazione open source e multipiattaforma dello standard WebGPU. L’utilizzo non corretto della memoria dinamica durante il funzionamento del programma permette a un aggressore remoto di sfruttare potenzialmente la corruzione dell'heap tramite una pagina HTML appositamente creata;
• CVE-2024-2886: Vulnerabilità “Use-After-Free (UAF)” nel componente “WebCodec“ ovvero un’API progettata per offrire agli sviluppatori un miglior accesso ai codec video per la codifica e decodifica all'interno delle applicazioni web. Tale falla se sfruttata permette a un utente malintenzionato remoto di eseguire operazioni di lettura/scrittura arbitrarie tramite una pagina HTML predisposta;
• CVE-2024-2887: Vulnerabilità di tipo “Type Confusion“ nel “WebAssembly“, un linguaggio di programmazione di basso livello progettato per l'esecuzione di codice sul lato client all'interno del browser, che si verifica quando si accede ad una risorsa con un Type incompatibile, causando di conseguenza errori logici e problemi relativi allo stesso.

Lo sfruttamento in the wild delle CVE-2024-2886 e CVE-2024-2887 risulterebbe essere stato dimostrato da ricercatori al Pwn2Own Vancouver 2024.

Google ha risolto le vulnerabilità che affliggono le diverse versioni dei software con la release rilasciata il 26 marzo, la quale può essere scaricata tramite il portale ufficiale di download del vendor. 

Di seguito le versioni afflitte dalle vulnerabilità:

• versioni precedenti alla 123.0.6312.86/.87 per Windows e Mac
• versioni precedenti alla 123.0.6312.86 per Linux

Un elenco completo delle modifiche apportate a tale build è disponibile nel seguente registro.

A questo proposito Yoroi suggerisce di tenere alto il monitoraggio e di eseguire le linee guida emanate e successivamente il patching alle versioni suggerite dal vendor.   

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi cyber security Index   

Riferimenti Esterni 

• https://chromereleases.googleblog.com/2024/03/stable-channel-update-for-desktop_26.html
• https://chromium.googlesource.com/chromium/src/+log/123.0.6312.58..123.0.6312.87?pretty=fuller&n=10000