Google ha rilasciato un aggiornamento di sicurezza fuori banda per correggere una vulnerabilità critica nel suo browser web Chrome. Il difetto, noto come CVE-2023-4863, comporta un overflow del buffer di heap che influisce sul formato immagine WebP. Questa vulnerabilità potrebbe potenzialmente portare all'esecuzione di codice arbitrario o ad arresti anomali.

La scoperta della vulnerabilità è stata attribuita ad Apple Security Engineering and Architecture (SEAR) e The Citizen Lab presso la Munk School dell'Università di Toronto. I dettagli specifici dell'exploit non sono stati resi noti, ma Google ha riconosciuto che è stato osservato in natura un exploit per CVE-2023-4863.

Quest'ultima patch fa parte degli sforzi continui di Google per affrontare le vulnerabilità zero-day in Chrome. Dall'inizio dell'anno l'azienda ha già risolto quattro di queste vulnerabilità.

Oltre alla patch di Google, Apple ha anche ampliato le sue correzioni per risolvere CVE-2023-41064, un'altra vulnerabilità legata all'elaborazione delle immagini. Questa vulnerabilità è un problema di overflow del buffer nel componente I/O immagine, che potrebbe portare all'esecuzione di codice arbitrario. È stato utilizzato insieme a CVE-2023-41061 in una catena di exploit iMessage senza clic denominata BLASTPASS per distribuire lo spyware Pegasus su iPhone dotati di patch complete con iOS 16.6.

Le somiglianze tra CVE-2023-41064 e CVE-2023-4863, entrambi legati all'elaborazione delle immagini e segnalati da Apple e The Citizen Lab, suggeriscono una potenziale connessione tra le due vulnerabilità.

Per proteggersi da potenziali minacce, si consiglia agli utenti di aggiornare il proprio browser Chrome alla versione 116.0.5845.187/.188 per Windows e 116.0.5845.187 per macOS e Linux. Anche gli utenti dei browser basati su Chromium, come Microsoft Edge, Brave, Opera e Vivaldi, dovrebbero applicare le patch non appena saranno disponibili.

