Un bug non cancellava i cookie dopo il riavvio. Ed è stata scoperta anche una vulnerabilità zero-day. Ecco perché conviene intervenire sul browser
Gli utenti che utilizzano abitualmente Google Chrome devono aggiornarlo al più presto per correggere diversi problemi di sicurezza e privacy. Tra questi ci sono una vulnerabilità zero-day, sfruttata da cybercriminali per dirottare i computer presi di mira, e un bug che non eliminava i dati privati di archiviazione locale da YouTube e Google dopo il riavvio del browser.
Vulnerabilità zero-day
Nominata con la sigla CVE-2020-15999, la vulnerabilità consiste in un tipo di difetto di danneggiamento della memoria chiamato heap buffer overflow all’interno di Freetype, una popolare libreria di sviluppo software open source per il rendering dei caratteri fornita con Chrome.
Il difetto è stato individuato dal ricercatore di sicurezza Sergei Glazunov di Google Project Zero il 19 ottobre e, siccome la vulnerabilità è stata utilizzata attivamente da aggressori per violare i computer, è stata resa pubblica in brevissimo tempo.
Project Zero discovered and reported an actively exploited 0day in freetype that was being used to target Chrome. A stable release that fixes this issue (CVE-2020-15999) is available here: https://t.co/ZRQe72Qfkh
— Ben Hawkes (@benhawkes) October 20, 2020
Il responsabile tecnico di Project Zero, Ben Hawkes, ha spiegato su Twitter che nonostante il team abbia individuato l’uso di un singolo exploit per Chrome è consigliato per tutti gli utenti di Freetype di aggiornare la libreria anche se non usano il browser di Big G.
Il bug di Chrome
Il difetto del browser è stato individuato dal programmatore Jeff Johnson: in sostanza, Google non eliminava automaticamente al riavvio i cookie e i dati dei siti.
Malgrado Chrome fosse stato configurato per cancellare tutti i cookie e i dati dei siti quando l’applicazione veniva chiusa, il motore di ricerca di Google e la piattaforma video YouTube hanno conservato i dati del proprio sito, anche se i cookie venivano eliminati come da impostazione.
Sebbene i cookie siano generalmente utilizzati per identificare e memorizzare alcune delle preferenze online dell’utente quando visita siti, i dati del sito includono, tra le altre cose, un database di archiviazione in cui un sito può memorizzare informazioni personali dell’utente e del suo computer.
La vulnerabilità zero-day è stata sistemata grazie a una patch con l’aggiornamento alla versione 86.0.4240.111 del browser di Big G mentre il bug sembra essersi risolto solo per YouTube. Di contro, secondo The Verge, i dati locali di Google.com restano ancora presenti dopo il riavvio.
Leggi anche
Potrebbe interessarti anche