Chrome esposto ad attacchi per colpa di FreeType

Per colpa della sua “bellezza”, la bellezza grafica di un browser che visualizza molti font, Chrome ha rischiato grosso. Il programma di navigazione Internet di Google si è rivelato vulnerabile ad attacchi per via di un bug di corruzione della memoria relativo a FreeType, una libreria software gratuita utilizzata da Chrome per la resa grafica dei testi nelle pagine Web. Segnalato da Sergei Glazunov, un ingegnere software di Google Project Zero, il problema è identificato dalla sigla CVE-2020-15999.

La buona notizia è che Google è corsa prontamente ai ripari pubblicando una nuova versione di Chrome, la numero 86.0.4240.111, che fra l’altro risolve anche altri bug di minore entità. La cattiva è che questa vulnerabilità zero-day di FreeType è già stata sfruttata per sferrare attacchi nei confronti di dispositivi che utilizzano Chrome.

Così ammette la stessa Google nella nota di rilascio dell’’update di Chrome, senza però specificare di che tipo fossero gli attacchi in questione. Peraltro, come fatto notare da Zdnet, la CVE-2020-15999 è la terza vulnerabilità zero-day di Chrome sfruttata per attaccare nell’ultimo anno (i precedenti episodi risalgono a ottobre 2019 e a febbraio 2020). 

Peraltro la versione 2.10.4 di FreeType, appena pubblicata, ha già risolto la vulnerabilità. E poiché la libreria software incriminata viene impiegata non solo da Chrome ma anche da altre applicazioni, gli ingegneri di Project Zero invitano i vendor interessati ad aggiornare i propri prodotti installando l’ultima release di FreeType.