It's not a bug, it's a feature

Nuova vulnerabilità Chrome: aggiorna presto alla nuova versione

Nella giornata del 19 ottobre 2020 è stata trovata una nuova vulnerabilità nel browser sviluppato da Google: stiamo parlando di Chrome. Da molto tempo Chrome è in eterna lotta con Firefox, il browser sviluppato da Mozilla. Molti utenti dicono di preferire Firefox altri Chrome, un parere molto soggettivo. In alcune applicazioni Firefox risulta più utile come ad esempio nell’analisi e lo sviluppo di pagine web.

A causa della nuova vulnerabilità CVE-2020-15999, in qualunque dispositivo tu abbia installato Chrome, è necessario aggiornarlo all’ultima versione Google rilasciata il 20 ottobre. Già perchè BigG non mette in pericolo la navigazione dei propri utenti e sviluppa immediatamente delle patch risolutive.

La vulnerabilità di Chrome

Il ricercatore Sergei Glazunov appartenente al gruppo Google Project Zero, il team Google per l’analisi e ricerca di vulnerabilità zero-day, ha scoperto la nuova vulnerabilità di Google Chrome. Ricordiamo che con zero-day (0-day) si intendono delle vulnerabilità presenti nei sistemi senza che l’azienda produttrice ne sia a conoscenza. Il nome di questo tipo di vulnerabilità deriva dal fatto che sono passati zero giorni da quando si scopre la vulnerabilità. Lo sviluppatore ha dunque zero giorni di tempo per risolverla prima che qualcuno pubblichi un exploit (programma in grado di usare la vulnerabilità per entrare nei sistemi da essa affetti).

La vulnerabilità CVE-2020-15999 di Chrome è un difetto di danneggiamento della memoria chiamato heap buffer overflow in Freetype. Freetype è una libreria per rappresentare i font nei motori di ricerca. Glazunov ha immediatamente avvisato gli sviluppatori di Freetype ma secondo il responsabile tecnico del progetto Zero, Ben Hawkes, non esclude la vulnerabilità di altri progetti che utilizzano la stessa libreria. Stando a ciò, sempre secondo Hawkes, tutti gli utenti di Freetype dovrebbero aggiornare la libreria.

Secondo lo studio di Glazunov la vulnerabilità si trova in una funzione per l’elaborazione di immagini PNG incorporate nei caratteri, dove si realizza un troncamento di interi. Degli attaccanti potrebbero sfruttarla per eseguire del codice malevolo utilizzando caratteri predisposti in immagini PNG. Come avviene l’overflow? Sempre secondo Glazunov immettendo un’immagine troppo larga o troppo alta il buffer allocato non riuscirà ad allocare i bitmap. Glazunov ha anche proposto un exploit per dimostrare la sua teoria.

La patch di Google

Poco dopo la pubblicazione e segnalazione di Glazunov, BigG ha subito provveduto a risolvere il problema. Google ha infatti rilasciato la versione 86.0.4240.111 per i sistemi operativi Windows, Mac e Linux. Questa nuova patch prevede la soluzione di 5 diversi bug:

  • un’inappropriata implementazione in Blink, il motore di rendering per browser
  • un bug use-after-free nei media di Chrome. La use-after-free è una vulnerabilità in cui il puntatore viene dereferenziato dopo essere stato liberato.
  • un bug use-after-free in PDFium, una libreria open source per vedere, cercare, compilare e stampare documenti in PDF
  • un bug use-after-free nella funzione “Stampa” presente nel browser
  • bug nella libreria Freetype

Dare un nome alle vulnerabilità

Ogni vulnerabilità viene identificata con un numero attribuito dal Common Vulnerabilities and Exposures (CVE). Il CVE è un dizionario pubblico, gratuito, che fornisce informazioni sulle vulnerabilità e esposizioni di un software. Nella lista CVE sono presenti tutte le vulnerabilità approvate da un’entità CVE, organismi presenti in tutto il mondo che hanno la facoltà di pubblicare le vulnerabilità.

Il nome di una vulnerabilità è dato da un ID così composto CVE-anno-sequenzanumerica. Le ultime N cifre sono una sequenza randomica di numeri, inizialmente pari a 4 ma con i tempi aumentata fino a 7. Queste ultime cifre identificano la cardinalità annuale della vulnerabilità. Con la prima numerazione si potevano identificare fino a 999 vulnerabilità all’anno mentre con l’aumento di vulnerabilità note all’anno, attualmente si può arrivare a un massimo di 1 milione. Stando a ciò è facile notare come la vulnerabilità di Chrome è la 15999 in tutto il 2020, vulnerabilità nota ma chissà quante altre vulnerabilità ancora dovremo scoprire in questo strano anno.

mappa delle CNA (CVE Numbering Authorities, autorità per attribuire i CVE ID) mondiali – Credits: cve.mitre.org

Attribuendo il nome a una vulnerabilità esistono però dei casi particolari:

  • vulnerabilità scoperta in un anno ma resa pubblica nel successivo, la vulnerabilità sarà CVE-annosuccessivo-sequenza dove però la sequenza sarà una cifra in più rispetto a quelle dell’anno precedente.
  • se una vulnerabilità scoperta in un anno e richiesta del CVE ID nello stesso anno ma resa pubblica anni dopo, l’ID sarà lo stesso dell’anno di richiesta.
  • vulnerabilità scoperta e assegnata in un anno ma nessun CVE ID è stato richiesto. Tale vulnerabilità sarà pubblicata con lo stesso ID dell’ann di scoperta

Il nome di una vulnerabilità non è l’unico identificativo attribuito a una vulnerabilità. Nel momento del rilascio infatti una descrizione, una referenza pubblica accompagnano sempre il numero. La descrizione è indispensabile per distinguere meglio le vulnerabilità. La referenza identifica invece la fonte, un identificatore ben definito per la ricerca web e annota l’ID CVE associato.

Published by
Silvia Sanna