Google Chrome: vulnerabilità zero-day corrette, aggiornamento urgente richiesto

Google ha corretto diverse vulnerabilità zero-day in Chrome, alcune già sfruttate in attacchi reali. Le falle riguardano il motore V8, il componente CSS e il s…

Contenuto

Google Chrome: vulnerabilità zero-day corrette, aggiornamento urgente richiesto

Scopri anche

Google Chrome: vulnerabilità zero-day corrette, aggiornamento urgente richiesto

Google corregge vulnerabilità zero-day in Chrome: aggiornamento urgente per gli utenti

In questo articolo:

Google ha rilasciato diversi aggiornamenti di sicurezza per il browser Chrome in risposta a vulnerabilità zero-day attivamente sfruttate in attacchi reali. Le falle, identificate con codici CVE distinti, interessano componenti critici del browser tra cui il motore JavaScript V8, il sottosistema CSS e il componente Loader, aprendo la strada a potenziali esecuzioni di codice arbitrario e intercettazione di dati sensibili.

CVE-2026-2441: use-after-free nel componente CSS

⬆ Torna su

La prima vulnerabilità zero-day del 2026, catalogata come CVE-2026-2441, è stata corretta nelle versioni Chrome 145.0.7632.75/76 per Windows e macOS e 144.0.7559.75 per Linux. Il difetto è classificato come use-after-free nel componente CSS: questa tipologia di bug si verifica quando il software tenta di utilizzare memoria già liberata, consentendo a un attaccante di eseguire codice arbitrario all'interno della sandbox del browser tramite una pagina HTML costruita ad arte.

La scoperta è stata attribuita al ricercatore Shaheen Fazim, che ha segnalato la falla a Google l'11 febbraio 2026. Google ha confermato l'esistenza di un exploit "in the wild", ovvero già utilizzato attivamente in casi reali prima della disponibilità della correzione. L'azienda ha scelto di non diffondere dettagli tecnici completi sull'exploit durante la distribuzione della patch, una pratica comune per evitare di fornire strumenti aggiuntivi agli aggressori prima che la maggior parte degli utenti sia protetta.

CVE-2025-4664: intercettazione dati tramite Loader

⬆ Torna su

Un'altra vulnerabilità, identificata come CVE-2025-4664 e classificata ad alta gravità, riguarda un'applicazione insufficiente delle politiche nel componente Loader di Chrome. Il ricercatore Vsevolod Kokorin di Solidlab ha evidenziato come il difetto possa essere sfruttato intercettando dati tra diverse origini tramite pagine HTML create appositamente.

Come spiegato dal ricercatore, Chrome risolve l'intestazione Link nelle richieste di sottorisorse in modo differente rispetto ad altri browser. Specificando "unsafe-url" come politica di referrer, un attaccante può catturare i parametri completi di una query, potenzialmente includendo informazioni sensibili come token OAuth. Questo meccanismo può condurre al completo controllo dell'account vittima. Google ha indicato di essere "a conoscenza di segnalazioni che un exploit per CVE-2025-4664 esiste in natura", confermando lo sfruttamento attivo della falla.

Le versioni corrette distribuite nel canale Stable Desktop sono la 136.0.7103.113 per Windows/Linux e la 136.0.7103.114 per macOS. Gli aggiornamenti vengono distribuiti nell'arco di giorni o settimane, ma risultavano immediatamente disponibili al momento della verifica da parte di fonti specializzate.

CVE-2025-2783: superamento sandbox e distribuzione malware

⬆ Torna su

A marzo 2025, Google ha corretto un'ulteriore vulnerabilità zero-day ad alta gravità, CVE-2025-2783, sfruttata per distribuire malware in attacchi di spionaggio mirati contro organizzazioni governative russe, testate giornalistiche e istituzioni educative. I ricercatori di Kaspersky hanno documentato come gli attaccanti utilizzassero exploit per questa falla al fine di aggirare le protezioni sandbox di Chrome e infettare gli obiettivi con malware.

Nel solo 2024, Google ha dovuto correggere 10 vulnerabilità zero-day divulgate durante la competizione di hacking Pwn2Own o sfruttate in attacchi reali, evidenziando un trend costante di minacce che interessano il browser più diffuso al mondo.

CVE-2023-6345: uscita dalla sandbox

⬆ Torna su

Una vulnerabilità scoperta il 24 novembre 2023, identificata come CVE-2023-6345, è stata confermata da Google come oggetto di exploit nel mondo reale. La falla potrebbe consentire agli aggressori di accedere a distanza ai dati personali e implementare codice malevolo attraverso un file progettato per effettuare un'uscita dalla sandbox, il meccanismo di isolamento che limita l'esecuzione di codice non attendibile.

Le versioni corrette sono la 119.0.6045.199 per Mac e Linux e la 119.0.6045.199/.200 per Windows. Google ha confermato che la correzione sarebbe stata distribuita "nei prossimi giorni/settimane" dall'annuncio.

Abuso dell'API MultiLogin non documentata

⬆ Torna su

Un vettore di attacco diverso dalle vulnerabilità zero-day riguarda l'abuso di un endpoint OAuth di Google non documentato, denominato MultiLogin. L'azienda CloudSEK ha documentato come diversi malware information stealer utilizzino questa API per compromettere gli account utente. L'endpoint, progettato per sincronizzare gli account tra diversi servizi Google, accetta un vettore di ID account e token di autenticazione.

Secondo Pierluigi Paganini, analista di cybersecurity, "la scoperta di un endpoint non documentato apre a scenari preoccupanti, innanzitutto perché la non conoscenza pubblica del meccanismo ne impedisce la difesa di attacchi condotti con l'exploit citato". Il malware può generare nuovi token di autenticazione utilizzando token "Refresh" rubati, consentendo l'accesso prolungato agli account anche dopo la scadenza delle credenziali originali.

Almeno quattro information stealer hanno adottato questa tecnica: Stealc (1° dicembre), Medusa (11 dicembre), RisePro (12 dicembre) e Whitesnake (26 dicembre). Google ritiene che l'API funzioni come previsto e che nessuna vulnerabilità venga sfruttata, suggerendo come mitigazione l'uscita dal browser Chrome dal dispositivo interessato o la chiusura di tutte le sessioni attive tramite g.co/mydevices.

Tipologie di exploit browser: panoramica delle minacce

⬆ Torna su

I browser rappresentano un vettore d'attacco privilegiato per gli aggressori, data la loro posizione centrale nell'infrastruttura aziendale e personale. Il CVE Program ha codificato oltre 22.000 exploit pubblici nel solo 2022. Le tipologie di attacco variano dall'esecuzione di codice in-browser, considerata tra le più critiche, al furto di credenziali tramite tecniche come il "tabnabbing", dove una scheda inattiva viene reindirizzata verso una falsa pagina di login che imita servizi legittimi.

Il "Man-in-the-Browser" rappresenta una variante più insidiosa del classico attacco Man-in-the-Middle: un trojan intercetta e manipola le richieste inviate dal browser, spesso con l'obiettivo di registrare credenziali bancarie mentre l'utente visualizza transazioni legittime. Questo tipo di attacco elude le protezioni TLS e SSL operando direttamente sul dispositivo compromesso.

Il Cross-Site Scripting (XSS) sfrutta siti dinamici che gestiscono JavaScript sul client senza dover comunicare con il server. Siti con thread di commenti non sanitizzati possono esporre gli utenti a codice malevolo inserito tra tag script. Analogamente, le SQL injection sfruttano siti che accettano input utente per eseguire istruzioni sul database sottostante.

Avvelenamento della cache DNS

⬆ Torna su

Il DNS poisoning rappresenta un'altra minaccia rilevante: gli aggressori compromettono i server DNS o le cache locali per associare nomi di dominio legittimi a indirizzi IP controllati dagli attaccanti. Gli utenti vengono così reindirizzati verso siti fraudolenti che imitano istituti finanziari o servizi di autenticazione. La diffusione di questa compromissione può essere rapida, dato che diversi ISP si basano su server DNS condivisi.

Estensioni e plugin come vettori di compromissione

⬆ Torna su

Plugin e estensioni offrono funzionalità dinamiche ma rappresentano un vettore di attacco significativo. La loro prossimità al browser le rende componenti ideali per drive-by download, dove file malevoli vengono scaricati senza consenso dell'utente. Plugin noti come Flash e Java hanno storicamente giocato un ruolo importante in attacchi precedenti. Il server Jenkins, popolare per i plugin Java, è noto per vulnerabilità che hanno contribuito a incidenti di sicurezza significativi.

Segnalazioni di sicurezza Google: come distinguerle dalle truffe

⬆ Torna su

Google invia automaticamente alert di sicurezza quando rileva tentativi di accesso sospetti agli account. Queste notifiche contengono informazioni sulla minaccia e spesso indicano il dispositivo che ha tentato l'accesso. Tuttavia, gli aggressori utilizzano email fraudolente che imitano queste comunicazioni per condurre attacchi di phishing.

Le autentiche segnalazioni di sicurezza Google provengono dall'indirizzo [email protected]. Email provenienti da indirizzi con caratteri casuali o numeri aggiunti richiedono verifica aggiuntiva. I messaggi fraudolenti contengono tipicamente link o pulsanti che reindirizzano verso siti spoofati progettati per rubare credenziali.

Misure di mitigazione e protezione

⬆ Torna su

Per verificare la versione di Chrome installata, è necessario aprire il menu in alto a destra, selezionare Guida > Informazioni su Google Chrome. Il browser controllerà automaticamente la presenza di aggiornamenti e mostrerà il numero di build attivo. Nella maggior parte dei casi Chrome si aggiorna in background, ma è necessario riavviare il browser per applicare le patch.

Google raccomanda di attivare la funzione Enhanced Safe Browsing in Chrome per proteggersi dal phishing e dai download di malware. L'autenticazione a due fattori aggiunge un livello di sicurezza supplementare, rendendo più difficile l'accesso non autorizzato anche in caso di compromissione delle password.

Per mitigare il rischio legato all'abuso dell'API MultiLogin, è necessario disconnettersi da Chrome sul dispositivo interessato o chiudere tutte le sessioni attive tramite il portale g.co/mydevices, invalidando i token di aggiornamento. È inoltre consigliabile modificare la password Google in caso di infezione da information stealer, specialmente se si utilizzano le stesse credenziali su più servizi.

Browser basati su Chromium

⬆ Torna su

I browser basati su Chromium come Microsoft Edge, Brave, Opera e Vivaldi beneficiano delle stesse correzioni quando queste vengono rese disponibili nei rispettivi canali di aggiornamento. Gli utenti di questi browser devono ugualmente verificare la presenza di aggiornamenti per applicare le patch di sicurezza.

Considerazioni sulla gestione delle vulnerabilità

⬆ Torna su

La presenza di endpoint non documentati come MultiLogin solleva interrogativi sulle pratiche di sviluppo. Come osservato da Paganini, "i processi di reverse engineering sono frequenti soprattutto da parte di attori molto motivati o addirittura nation-state actor, per questo motivo la soluzione di non documentare porzioni di codice e funzioni è tutt'altro che auspicabile". La mancanza di documentazione pubblica impedisce alla community di sicurezza di sviluppare contromisure proattive.

La velocità con cui gli information stealer hanno adottato la tecnica di abuso dell'API MultiLogin dimostra la rapidità di diffusione nell'underground criminale una volta scoperto un vettore di attacco efficace. Questo sottolinea l'importanza di pratiche di aggiornamento continuo e monitoraggio attivo delle minacce.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

⬆ Torna su

La concentrazione di vulnerabilità zero-day in componenti critici come V8, CSS e Loader evidenzia la complessità di garantire sicurezza in un browser con miliardi di utenti. La conferma di exploit attivamente sfruttati prima della disponibilità delle patch suggerisce una finestra temporale rischiosa per chi non aggiorna tempestivamente.

  • Scenario 1: Attacchi mirati a organizzazioni governative e giornalistiche potrebbero intensificarsi, coerentemente con quanto documentato per CVE-2025-2783.
  • Scenario 2: Information stealer come Stealc e Medusa potrebbero continuare a sfruttare meccanismi non documentati per mantenere accesso persistente agli account compromessi.
  • Scenario 3: La distribuzione di malware tramite pagine HTML appositamente create potrebbe rimanere un vettore privilegiato, data la difficoltà di rilevamento preventivo.

Cosa monitorare

⬆ Torna su
  • Tempistiche di adozione degli aggiornamenti Chrome nelle organizzazioni.
  • Segnalazioni di nuovi exploit attivi su motore V8 e sandbox.
  • Evoluzione delle tecniche di furto credenziali basate su OAuth e token refresh.

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.

Fonti

⬆ Torna su

In breve

  • cybersecurity
  • vulnerabilita
  • zero-day
  • exploit

Link utili

Apri l'articolo su DeafNews