Milioni di utenti di Google Chrome, Microsoft Edge e di altri browser basati su Chromium sono esposti a una falla diventata più rischiosa dopo un errore di Google.
La pubblicazione accidentale di un codice proof of concept che avrebbe dovuto restare riservato agli sviluppatori. Un dettaglio non da poco, perché quel codice può aiutare a costruire attacchi remoti contro i browser vulnerabili.
Exploit finito online: il bug passa dalla Fetch UI
Il caso riguarda Chromium, il progetto open source su cui si basano Chrome, Edge, Opera, Vivaldi e diversi altri browser. Secondo quanto ricostruito da Ars Technica, Google avrebbe messo online per errore un codice exploit dimostrativo collegato a una vulnerabilità nella Fetch UI, una parte dell’interfaccia usata dal browser per gestire alcune richieste e interazioni legate ai download.
Il punto critico è tutto qui: quel codice, pensato per essere visto solo dagli sviluppatori di Chromium, è diventato pubblico. Al momento, in base alle informazioni disponibili, non risultano attacchi confermati su larga scala. Ma la diffusione del materiale abbassa la soglia d’ingresso per chi volesse studiarlo, modificarlo e provare a usarlo.
La falla passa da JavaScript malevolo e da una debolezza nella gestione della Fetch UI, aprendo la strada a forme di controllo e monitoraggio remoto del browser. Da sola, la vulnerabilità sembra soprattutto preparare il terreno ad attacchi più ampi, specie se combinata con altre falle compatibili. “Usare il codice pubblicato sarebbe piuttosto facile”, ha spiegato ad Ars Technica la ricercatrice Lyra Rebane, che ha scoperto il problema. Ha però precisato che servirebbe altro lavoro per trasformarlo in uno strumento davvero utilizzabile su larga scala.
Chrome, Edge e browser Chromium: chi rischia e quali segnali notare
Sono potenzialmente coinvolti gli utenti di Chrome, Edge e degli altri browser costruiti su Chromium. Il livello di rischio, però, può cambiare in base alla versione usata e al modo in cui ogni browser integra il progetto. Rebane ha indicato soprattutto Chrome ed Edge come i casi più rilevanti, aggiungendo di non ritenere probabile, allo stato attuale, un uso esteso contro tutti i browser derivati.
C’è anche un segnale pratico da tenere d’occhio. Su Chrome, in alcuni casi, l’anomalia può comparire insieme a un popup fantasma legato al pulsante Download. Un dettaglio minimo, facile da scambiare per un semplice problema grafico. Su Microsoft Edge, però, lo stesso segnale potrebbe non apparire affatto. E questo rende più difficile accorgersi che qualcosa non va.
È proprio questo a preoccupare gli esperti di sicurezza: un exploit poco visibile, basato su componenti comuni a molti browser, può restare nascosto a lungo. Senza segnali chiari, le prime verifiche passano dagli aggiornamenti disponibili, dai log aziendali dove presenti e dall’attenzione a comportamenti insoliti del browser, soprattutto nella gestione dei download o di finestre che si aprono e spariscono in pochi istanti.
Correzione in ritardo, rischio botnet e cosa fare subito
Secondo quanto riferito, la vulnerabilità sarebbe stata scoperta 46 mesi fa. Quasi quattro anni. Google non ha ancora indicato pubblicamente una data certa per la correzione, almeno stando alle informazioni riportate dalla fonte citata. Rebane ha collegato il ritardo anche alla natura insolita dell’attacco, più difficile da trattare rispetto a falle più lineari e semplici da riprodurre.
Il rischio principale, se l’exploit venisse inserito in una campagna più organizzata, è l’uso dei dispositivi compromessi dentro una botnet. In quel caso browser e computer di utenti comuni potrebbero essere usati per attività come attacchi DDoS o passaggio di traffico illecito, senza che il proprietario se ne accorga subito.
Per ora non ci sono conferme di attacchi attivi “in the wild”, cioè osservati su larga scala nel mondo reale. Ma la pubblicazione involontaria del proof of concept cambia il quadro. Gli utenti di Chrome, Edge e browser Chromium-based dovrebbero controllare di avere installato gli ultimi aggiornamenti, riavviare il browser dopo l’installazione e, in caso di comportamenti strani legati al pulsante Download, valutare una reinstallazione pulita. Nelle aziende, la linea è ancora più netta: controlli sui browser gestiti, policy aggiornate e monitoraggio del traffico sospetto.
