Chrome migliora la sicurezza della navigazione Web, dopo che recentemente nell’ultima versione del browser di Google è stato trovata una vulnerabilità già attivamente sfruttata con un exploit per generare attacchi. Battezzata CVE-2021-30563, la vulnerabilità riguarda il motore Javascript V8 di Chromium e, se sfruttata, consente di eseguire codice arbitrario sul dispositivo colpito, dunque di installare malware, spyware e altri programmi dannosi. Nei giorni scorsi Google ha quindi prontamente distribuito una patch che risolve questa falla e altri sette problemi di minore entità. La versione sicura di Chrome è la 91.0.4472.164.
Gli incidenti di percorso purtroppo sono all’ordine del giorno con i browser (e non solo con i browser), ma non si può dire che l’azienda di Mountain View non stia cercando di rendere Chrome sempre più sicuro e più rispettoso della privacy degli utenti. Google ha infatti annunciato che la nuova release, Chrome 92, estenderà la portata di Site Isolation, una modifica dell’architettura software introdotta nel 2018 per proteggere da attacchi speculativi simili ai famigerati Spectre e Meltdown.
In sostanza, questa funzione isola i siti Web impedendo la condivisione di processi con altri siti o con le estensioni del browser. Attualmente Site Isolation protegge tutti i siti Web su sistemi Windows, Mac, Linux, and Chrome OS, mentre su Android era stato scelto di limitare questa misura di difesa solo ai siti dove l’utente esegue un accesso con credenzial, così da non rallentare troppo le prestazioni del browser.
Ora però, a partire da Chrome 92, Site Isolation entrerà in funzione su tutti i siti Web, anche su Android. Si applicherà ai siti in cui gli utenti eseguono il log-in tramite provider esterni, così come a quelli contenenti nell’Html l’header Cross-Origin-Opener-Policy. Google sta cercando di spingere i programmatori dei siti Web a utilizzare il Cross-Origin-Opener-Policy (Coop) response header come mezzo per proteggere i documenti dalle richieste di accesso provenienti da origini non affidabili. A partire da Chrome 92, i valori non-default di questo header verranno interpretati come un segnale del fatto che il sito sottostante contiene dati sensibili, e dunque Site Isolation entrerà in funzione.
Visti i miglioramenti di Site Isolation su Android, Google ha deciso di disabilitare le mitigazioni del runtime V8 per Spectre: queste misure protettive, ha spiegato l’azienda, sono meno efficaci di Site Isolation e incidono maggiormente sulle prestazioni del browser. Su tutti i sistemi operativi, Inoltre, a partire da Chrome 92 gli addon non potranno più condividere processi (per esempio l’accesso a determinati dati) gli uni con gli altri e questo, spiega Google, fornirà un’ulteriore linea di difesa contro le estensioni malevole.