Chrome 145: aggiornamento urgente per CVE-2026-2441, prima zero-day del 2026
Google corregge CVE-2026-2441, vulnerabilità use-after-free nel componente CSSFontFeatureValuesMap. La falla è stata sfruttata attivamente in attacchi reali.
Contenuto
Scopri anche
- Vulnerabilità zero-day: Google e Apple corrono ai ripari dopo attacchi attivi
- Apple rilascia aggiornamenti di sicurezza per iPhone e iPad datati: protegge dispositivi fino a un decennio
- Vulnerabilità critiche in Google Gemini: dai bug di Chrome agli attacchi sponsorizzati da stati
- Certificazione NATO per iPhone e le minacce digitali: sicurezza e attacchi
- Google Pixel Drop di marzo 2026: novità AI, modalità desktop e sicurezza
- Google corregge CVE-2026-2441: vulnerabilità zero-day già sfruttata attivamente in Chrome
- Samsung Galaxy Z Fold 7: aggiornamenti software e analisi del dispositivo pieghevole
- iOS 26.3.1: Apple prepara l'aggiornamento di manutenzione per iPhone
- Vulnerabilità zero-day critica in Cisco SD-WAN sfruttata dal 2023: CISA emette direttiva d'emergenza
- Samsung Galaxy: aggiornamenti sicurezza 2026 e rilascio One UI 8 con funzioni AI
- Samsung Galaxy: aggiornamenti sicurezza febbraio 2026 per serie S24, S23 ed S25
- Vulnerabilità software e cybersecurity: come proteggersi dagli attacchi informatici
- Apple stringe partnership con Google per potenziare Siri con Gemini AI
- Google Chrome: vulnerabilità zero-day corrette, aggiornamento urgente richiesto
- Ford richiama oltre 4 milioni di veicoli per vulnerabilità software nel modulo rimorchio
- Aggiornamenti Android e Play Store: cause dei malfunzionamenti e procedure di risoluzione
- CVE-2026-1731: CISA conferma sfruttamento attivo della vulnerabilità critica BeyondTrust
- Ford richiama oltre 4,3 milioni di veicoli per vulnerabilità software nel modulo rimorchio
- L'intelligenza artificiale nell'astronomia e nella ricerca scientifica: modelli a confronto
- Patch Tuesday febbraio 2026: sei zero-day già sfruttate, Google corregge falla critica in Chrome
Chrome 145: aggiornamento urgente per CVE-2026-2441, prima zero-day del 2026
Google ha rilasciato un aggiornamento di emergenza per Chrome al fine di correggere CVE-2026-2441, la prima vulnerabilità zero-day del 2026. La falla, classificata come use-after-free nel componente CSSFontFeatureValuesMap, è stata sfruttata attivamente in attacchi reali secondo quanto confermato dall'azienda. L'aggiornamento interessa le versioni stabili del browser su Windows, macOS e Linux.
Dettagli tecnici di CVE-2026-2441
⬆ Torna suLa vulnerabilità è stata identificata come un bug di tipo use-after-free, una categoria di errore nella gestione della memoria particolarmente insidiosa. Nel caso specifico, il problema risiede nel componente CSSFontFeatureValuesMap, che gestisce i valori delle caratteristiche dei font CSS nell'ambiente di rendering del browser. Quando un oggetto in memoria viene liberato ma successivamente riutilizzato in modo improprio, si crea una condizione che può portare a comportamenti imprevisti.
Il ricercatore di sicurezza Shaheen Fazim ha segnalato la falla a Google, permettendo un intervento rapido. La vulnerabilità ha ricevuto un punteggio CVSS di 8,8, indice di severità elevata. L'analisi del codice di Chromium evidenzia come l'errore di gestione della memoria possa essere trasformato in un vettore di esecuzione di codice arbitrario se sfruttato con precisione da un exploit creato ad hoc.
Secondo la documentazione tecnica, l'exploit sfrutta pagine web che caricano font speciali, costruite per innescare la vulnerabilità nel motore di rendering. L'utente diventa bersaglio semplicemente visitando un sito predisposto, raggiunto potenzialmente tramite email di phishing, banner malevoli o compromissione di pagine legittime. Non sono richiesti clic su link aggiuntivi o download di file: il solo caricamento della pagina è sufficiente per avviare in memoria il codice infetto.
Impatto sulla sandbox di Chrome
⬆ Torna suLa sandbox di Chrome è progettata per isolare i processi di rendering dalle altre parti del sistema, limitando l'impatto di eventuali compromissioni. Con CVE-2026-2441, il codice dannoso viene eseguito proprio all'interno dell'area che dovrebbe risultare isolata, riducendo l'efficacia del modello di protezione. Sebbene servano ulteriori bug per ottenere un'uscita completa dalla sandbox e un controllo totale del sistema, la possibilità di eseguire codice arbitrario rappresenta già un passo avanzato nelle catene di exploit moderne.
La documentazione indica che si tratta di un caso di "iterator invalidation", ovvero un iteratore che diventava invalido perché l'oggetto sottostante era stato modificato o liberato, mentre il browser tentava ancora di utilizzarlo. Questo causa uno stato corrotto della memoria e offre un vettore d'attacco agli aggressori.
Versioni corrette e distribuzione
⬆ Torna suLe versioni corrette sono Chrome 145.0.7632.75/76 per Windows e macOS, e 144.0.7559.75 per Linux. Google ha specificato che l'accesso ai dettagli del bug e ai link correlati rimarrà ristretto finché la maggioranza degli utenti non avrà installato la correzione. Questa precauzione si estende anche quando la vulnerabilità interessa librerie di terze parti utilizzate da altri progetti non ancora aggiornati.
I messaggi di commit indicano che la correzione rilasciata affronta "il problema immediato", ma segnalano l'esistenza di "lavori rimanenti" tracciati nel bug 483936078. Questo suggerisce che la soluzione potrebbe essere temporanea o che esistono problematiche correlate ancora da risolvere. La patch è stata contrassegnata come "cherry-picked", ovvero retroportata attraverso multipli commit, una procedura che Google adotta solo quando la gravità della situazione richiede l'inclusione immediata in una release stabile.
Microsoft Edge interessato
⬆ Torna suMicrosoft ha distribuito una patch con gli aggiornamenti di sicurezza derivati da quelli rilasciati da Google. L'ultimo canale stabile di Microsoft Edge, versione 145.0.3800.58, incorpora gli ultimi aggiornamenti di sicurezza del progetto Chromium. Il team di Chromium ha segnalato che CVE-2026-2441 presenta un exploit in circolazione e l'aggiornamento contiene la correzione.
Contesto e precedenti
⬆ Torna suQuesto zero-day rappresenta il primo della serie per il 2026. L'anno precedente Google aveva corretto otto vulnerabilità sfruttate attivamente. Molte di queste falle erano state identificate dal Threat Analysis Group (TAG) dell'azienda, un team specializzato nel tracciamento e nell'identificazione di zero-day utilizzati in campagne di spyware mirate contro individui ad alto rischio, inclusi giornalisti, dissidenti e attivisti per i diritti umani.
La posizione dominante di Chrome nel mercato dei browser rende la superficie d'attacco estremamente ampia, rendendolo un obiettivo prioritario per gruppi criminali e attori avanzati. Anche ambienti aziendali e infrastrutture critiche risultano esposti se i sistemi non vengono aggiornati in modo centralizzato e tempestivo.
Procedura di aggiornamento
⬆ Torna suPer verificare la versione installata è sufficiente aprire il menu in alto a destra, selezionare Guida e poi Informazioni su Google Chrome. Il browser controllerà automaticamente la presenza di aggiornamenti e mostrerà il numero di build attivo. Chrome è configurato per controllare automaticamente gli aggiornamenti e installarli al riavvio successivo, ma è possibile forzare manualmente il controllo.
Una volta scaricato l'aggiornamento, è sufficiente riavviare il browser per applicare la patch di sicurezza. L'intera procedura richiede meno di un minuto. Le organizzazioni dovrebbero distribuire centralmente l'aggiornamento, applicare policy di aggiornamento automatico, monitorare il traffico verso siti sospetti e sensibilizzare gli utenti sulle campagne di phishing.
Considerazioni sulla divulgazione responsabile
⬆ Torna suGoogle non ha diffuso dettagli tecnici completi per evitare ulteriori abusi, seguendo i principi di divulgazione responsabile. L'azienda segnala che la soluzione potrebbe essere parziale e soggetta a ulteriori revisioni, a conferma della complessità strutturale del problema. La decisione di limitare temporaneamente l'accesso ai dettagli tecnici mira a ridurre il rischio che nuovi attori malevoli sviluppino exploit più efficaci partendo dalle informazioni pubbliche.
Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.
Implicazioni e scenari
⬆ Torna suLa correzione di CVE-2026-2441 lascia aperti diversi interrogativi sulla completezza dell'intervento. La segnalazione di "lavori rimanenti" nei commit suggerisce che l'attuale patch potrebbe rappresentare solo una mitigazione parziale, con possibili sviluppi tecnici ancora in corso.
- Scenario 1: la soluzione parziale potrebbe richiedere patch aggiuntive nei prossimi giorni, estendendo la finestra di esposizione per chi non aggiorna tempestivamente.
- Scenario 2: altri browser basati su Chromium potrebbero dover rilasciare correzioni analoghe, con tempistiche potenzialmente dilatate rispetto a Chrome e Edge.
- Scenario 3: la limitazione temporanea sui dettagli tecnici potrebbe rallentare l'analisi indipendente, ritardando l'identificazione di varianti correlate.
Cosa monitorare
⬆ Torna su- Eventuali aggiornamenti collegati al bug 483936078 e segnalazioni di patch supplementari.
- Comunicazioni di sicurezza da altri browser Chromium-based non ancora aggiornati.
- Segnalazioni di campagne di attacco che sfruttano vettori simili nel motore di rendering.
Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.
Fonti
⬆ Torna su- https://www.windowsblogitalia.com/2026/02/chrome-edge-145-vulnerabilita/
- https://www.fastweb.it/fastweb-plus/digital-dev-security/perche-aggiornare-subito-chrome-scoperta-vulnerabilita-zero-day/
- https://assodigitale.it/google-chrome-corregge-vulnerabilita-critica-aggiornamento-immediato-consigliato/
- https://edunews24.it/tecnologia/google-chrome-aggiornamento-di-emergenza-per-la-prima-falla-0-day-del-2026-prontamente-corretto
- https://www.tomshw.it/hardware/chrome-corregge-la-prima-zero-day-del-2025-2026-02-16
- https://sicurezza.net/aggiornamento-chrome-correggi-subito-le-vulnerabilita/
- https://prothect.it/google/chrome-aggiornamento-emergenza-vulnerabilitachrome-aggiornamento-emergenza-vulnerabilitaarticoloaggiorna-subito-chrome-alla-versione-142-o-superiore-non-navigare-su-siti-sconosciuti-finche-n/
In breve
- cve
- cybersecurity
- zero-day