Google ha pubblicato la versione 86.0.4240.183 del suo noto browser Chrome per Windows, Mac e Linux per risolvere ben dieci vulnerabilità di sicurezza, tra cui una Remote Code Execution (RCE) zero-day ancora sfruttata da alcuni siti e che è stata segnalata da Clement Lecigne del Threat Analysis Group di Google e Samuel Groß di Google Project Zero lo scorso 29 ottobre. La vulnerabilità RCE viene tracciata come CVE-2020-16009 ed è descritta come un’implementazione inappropriata in V8, il motore WebAssembly e JavaScript ad alte prestazioni di Google open source e basato su C++.

Stando alla compagnia di Mountain View, in rete circolano alcuni exploit che sfruttano proprio questa vulnerabilità, ma non ha fornito ulteriori dettagli in merito. Inoltre, Google ha risolto un’altra vulnerabilità zero-day nella versione Android di Chrome conosciuta come CVE-2020-16010.

La scorsa settimana, il team di ricerca di bug di Project Zero 0day di Google ha rivelato un’elevazione dei privilegi del kernel di Windows (EoP) sfruttata attivamente e monitorata come CVE-2020-17087, che interessa tutte le versioni da Windows 7 a Windows 10.

Ecco un elenco di altre sei vulnerabilità di sicurezza importanti risolte in Chrome 86.0.4240.183:

• CVE-2020-16004: Segnalato da Leecraso e Guang Gong di 360 Alpha Lab in collaborazione con 360 BugCloud il 15-10-2020.
• CVE-2020-16005: Applicazione dei criteri insufficiente in ANGLE. Segnalato da Jaehun Jeong (@ n3sk) di Theori il 16-10-2020.
• CVE-2020-16006: Implementazione inappropriata in V8. Segnalato da Bill Parks il 29-09-2020.
• CVE-2020-16007: Convalida dei dati insufficiente nel programma di installazione. Segnalato da Abdelhamid Naceri (halov) il 04-09-2020.
• CVE-2020-16008: Overflow del buffer di stack in WebRTC. Segnalato da Tolya Korniltsev il 01-10-2020.
• CVE-2020-16011: Overflow del buffer di heap nell’interfaccia utente su Windows. Segnalato da Sergei Glazunov di Google Project Zero il 01-11-2020.

Suggeriamo ai nostri lettori di precedere all’aggiornamento il prima possibile.