Sono due le gravi falle di sicurezza che Google ha scoperto, una nel suo browser Chrome e l’altra in Windows 7.
Si tratta di vulnerabilità molto pericolose, di tipo zero-day.
Con questo termine si indicano le vulnerabilità non ancora divulgate pubblicamente e per le quali non esiste ancora una patch. Si tratta dunque di una minaccia molto seria per i dispositivi e i dati degli utenti.
Le due pericolose vulnerabilità, spiega il team di Google, venivano sfruttate in combinazione. Per rimediare alla vulnerabilità di Chrome (CVE-2019-5786), Google ha rilasciato un aggiornamento per tutte le piattaforme per il suo browser.
L’azienda invita tutti gli utenti che non l’avessero già fatto a verificare che l’aggiornamento automatico di Chrome abbia già applicato l’update. Nello specifico, si tratta dell’aggiornamento di Chrome alla versione 72.0.3626.121 o successiva.
La falla nella sicurezza di Windows 7
Questo update risolve la vulnerabilità di Google Chrome, però rimane quella individuata in Microsoft Windos 7. Questa, spiega il team di Google, riguarda un’escalation di privilegi nel driver del kernel win32k.sys di Windows. La falla può essere utilizzata per scavalcare la security sandbox del sistema operativo.
Google ritiene che tale vulnerabilità possa essere sfruttata solo su Windows 7. L’azienda afferma di credere che questo sia “fortemente” probabile, anche se non esclude al cento per cento altre eventualità.
Dovrebbe essere limitata al solo Windows 7 a causa delle recenti mitigazioni degli exploit aggiunte nelle versioni più recenti di Windows. A tutt’oggi, Google sottolinea di aver osservato uno sfruttamento attivo della falla solo contro i sistemi Windows 7 a 32 bit.
In base alla politica di divulgazione delle vulnerabilità di Google, appena scoperta la falla essa è stata segnalata a Microsoft. Sempre in conformità con la policy Google, il passo successivo è ora la divulgazione pubblica della sua esistenza. Poiché si tratta di una grave vulnerabilità in Windows che Google sa che è stata sfruttata attivamente in attacchi mirati.
La vulnerabilità di Windows, senza patch, può ancora essere utilizzata per elevare i privilegi. Oppure, combinata con un’altra vulnerabilità del browser, per eludere le sandbox di sicurezza. Microsoft ha informato Google di essere al lavoro su un fix.
Secondo Google, per mitigare i rischi della vulnerabilità, gli utenti dovrebbero prendere in considerazione l’aggiornamento a Windows 10. Nel caso stessero ancora utilizzando una versione precedente di Windows. E comunque, naturalmente, applicare le patch di Windows fornite da Microsoft non appena diventeranno disponibili.
Maggiori informazioni sono disponibili sul Security Blog di Google, a questo link.
