Scopri anche

• CVE-2026-1731: CISA conferma sfruttamento attivo della vulnerabilità critica BeyondTrust
• Nvidia vs Broadcom: lo scontro tra giganti nel mercato dei chip AI
• Sicurezza Android: aggiornamenti, anti-furto e nuove protezioni
• Vulnerabilità zero-day in Google Chrome: analisi delle falle critiche e aggiornamenti di sicurezza
• Google rilascia Gemini 3.1 Pro: il salto nel ragionamento che raddoppia le prestazioni
• Vulnerabilità zero-day in WebKit: Apple rilascia patch urgente per attacchi mirati
• F-35 e il dilemma del "jailbreak": le dichiarazioni olandesi riaccendono il dibattito sulla sovranità software
• Vulnerabilità critica nel Blocco Note e problemi di riavvio: Windows 11 tra patch urgenti e bug sistemici
• Google presenta Gemini 3: il nuovo modello LLM con ragionamento avanzato e capacità agentiche
• Aggiornamenti Google Pixel 2026: correzioni tecniche e patch di sicurezza
• F-35 e jailbreak: la dichiarazione del ministro olandese riapre il dibattito sulla sovranità software
• Windows 11: vulnerabilità critica nel Blocco Note e aggiornamento problematico KB5077181
• NotebookLM si integra con Gemini: cambia la gestione dei documenti
• Vulnerabilità zero-day in WebKit: aggiornamenti di sicurezza per dispositivi Apple
• Intelligenza artificiale e cybersecurity: il doppio fronte tra attacchi e difese
• Microsoft Patch Tuesday febbraio 2026: 59 vulnerabilità corrette, sei zero-day già sfruttati
• Windows 10: Il nuovo aggiornamento KB5073724 e il futuro della sicurezza Microsoft - Edunews24
• Agentic AI e assistenti virtuali: autonomia, rischi e il problema dell'affidabilità nell'informazione
• L'ecosistema hardware per l'intelligenza artificiale: dai chip personalizzati alla gestione del ciclo di vita del silicio
• Patch Tuesday febbraio 2026: sei zero-day già sfruttate, Google corregge falla critica in Chrome

Google Chrome: vulnerabilità zero-day CVE-2026-2441 già sfruttata in attacchi reali

Google Chrome: vulnerabilità zero-day CVE-2026-2441 già sfruttata in attacchi reali

Google ha rilasciato un aggiornamento di sicurezza urgente per correggere una vulnerabilità zero-day attivamente sfruttata in attacchi reali. La falla, identificata come CVE-2026-2441, rappresenta la prima vulnerabilità di questo tipo corretta nel corso del 2026 e interessa il componente CSSFontFeatureValuesMap del browser, responsabile della gestione dei valori delle caratteristiche dei font CSS.

La vulnerabilità è stata classificata con un punteggio CVSS pari a 8.8, corrispondente a un livello di gravità alto. Secondo quanto dichiarato da Google, l'azienda è consapevole dell'esistenza di un exploit per CVE-2026-2441 utilizzato attivamente. La scoperta è attribuita al ricercatore di sicurezza Shaheen Fazim, che ha segnalato la falla l'11 febbraio 2026.

Natura tecnica della vulnerabilità

⬆ Torna su

La CVE-2026-2441 è un bug di tipo use-after-free, una categoria di difetti particolarmente insidiosa che si verifica quando un programma tenta di accedere a una zona di memoria già liberata. Nel caso specifico, l'errore riguarda un'invalidazione dell'iteratore nel componente CSSFontFeatureValuesMap: un puntatore utilizzato per scorrere elementi di una struttura dati diventa invalido perché l'oggetto sottostante è stato modificato o liberato, ma il browser continua a tentare di utilizzarlo.

Questo tipo di vulnerabilità può essere sfruttata per provocare crash controllati del browser, corruzione della memoria ed eventualmente esecuzione di codice arbitrario. La particolarità del bug risiede nel fatto che l'attacco non richiede interazioni complesse da parte dell'utente: è sufficiente visitare una pagina web appositamente predisposta con font manipolati per innescare l'exploit. Non è necessario cliccare su link specifici o scaricare file.

La sandbox integrata di Chrome può contenere almeno in parte l'impatto dell'attacco, limitando il controllo diretto del sistema operativo. Tuttavia, l'exploit potrebbe comunque consentire l'accesso ai dati di navigazione, l'analisi delle schede aperte o l'esecuzione di tecniche per evadere le protezioni del browser.

Versioni correttive e distribuzione

⬆ Torna su

Google ha distribuito le patch attraverso il canale Stable Desktop con le seguenti versioni correttive:

• Chrome 145.0.7632.75/76 per Windows e macOS
• Chrome 144.0.7559.75 per Linux

La distribuzione avviene in modo progressivo secondo le prassi standard di Google. Tuttavia, il rilascio simultaneo sui tre principali sistemi operativi evidenzia l'urgenza dell'intervento. I messaggi di commit nel progetto Chromium indicano che la patch affronta "il problema immediato", ma segnalano l'esistenza di "lavori rimanenti" tracciati nel bug 483936078. Questo suggerisce che la correzione potrebbe essere temporanea o che esistano problematiche correlate ancora da risolvere.

La patch è stata contrassegnata come "cherry-picked", ovvero retroportata attraverso multipli commit sulle versioni stabili. Questa procedura viene riservata da Google esclusivamente alle vulnerabilità ad alto impatto che non possono attendere le normali release programmate.

Limitazione delle informazioni tecniche

⬆ Torna su

Google ha scelto di mantenere dettagli tecnici limitati sull'exploit mentre la distribuzione della patch è in corso. L'accesso ai dettagli del bug e ai link correlati nel tracciatore rimarrà ristretto finché la maggioranza degli utenti non avrà installato la correzione. Questa politica di divulgazione limitata rientra nelle buone pratiche di gestione responsabile delle vulnerabilità ad alto rischio: fornire pochi dettagli tecnici in questa fase serve a evitare che criminali informatici replichino o industrializzino gli exploit prima che la base utenti sia protetta.

La stessa cautela viene applicata quando la vulnerabilità coinvolge librerie di terze parti utilizzate da altri progetti, per non esporre ecosistemi che non hanno ancora potuto aggiornare.

Procedura di aggiornamento

⬆ Torna su

Per verificare e installare l'aggiornamento, gli utenti possono aprire il menu di Chrome in alto a destra, selezionare Guida > Informazioni su Google Chrome. Il browser avvierà automaticamente la ricerca di aggiornamenti e mostrerà il numero di build attivo. Una volta completato il download, è necessario riavviare il browser per applicare la patch.

Sebbene Chrome sia configurato per aggiornarsi automaticamente in background, in presenza di uno zero-day già sfruttato è raccomandabile un controllo proattivo manuale. La tempestività in questa fase può ridurre significativamente l'esposizione a possibili attacchi durante la normale navigazione.

Anche i browser basati su Chromium come Microsoft Edge, Brave, Opera e Vivaldi beneficeranno delle stesse correzioni non appena saranno rese disponibili nei rispettivi canali di aggiornamento.

Contesto storico e monitoraggio

⬆ Torna su

Questo zero-day rappresenta il primo del 2026 per Chrome. Nel corso del 2025 Google ha dovuto correggere otto vulnerabilità zero-day sfruttate attivamente contro gli utenti del browser. Molte di queste falle erano state identificate dal Threat Analysis Group (TAG) dell'azienda, un team specializzato nel tracciamento di zero-day utilizzati in campagne di spyware mirate contro individui ad alto rischio, inclusi giornalisti, dissidenti e attivisti per i diritti umani.

La rapidità con cui è stato gestito CVE-2026-2441 – dalla segnalazione dell'11 febbraio alla correzione del 13 febbraio – conferma l'efficacia dei sistemi di rilevamento e risposta di Google. La sinergia tra ricercatori indipendenti come Shaheen Fazim e le grandi aziende tecnologiche rappresenta un elemento centrale per garantire la protezione della vita digitale di milioni di utenti.

In ambienti aziendali, il controllo centralizzato tramite strumenti di gestione dei client è indicato per chiudere rapidamente la superficie di attacco. È consigliabile forzare il riavvio dei browser e comunicare internamente la criticità del problema, integrando il controllo versione nelle checklist di sicurezza.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

⬆ Torna su

La correzione di CVE-2026-2441, con il suo punteggio CVSS 8.8 e l'exploit già attivo, solleva interrogativi sulla completezza della patch. I riferimenti a "lavori rimanenti" nei commit suggeriscono che la fix potrebbe essere parziale.

• Scenario 1: la distribuzione progressiva della patch contiene l'impatto, ma gli utenti con aggiornamenti automatici disabilitati rimangono esposti più a lungo.
• Scenario 2: browser Chromium-based come Edge o Brave potrebbero ricevere le correzioni con ritardo, estendendo la finestra di vulnerabilità per una porzione della base utenti.
• Scenario 3: l'exploit viene replicato e adattato prima del completamento della distribuzione, coerentemente con quanto osservato nelle otto campagne del 2025.

Cosa monitorare

⬆ Torna su

• Tempi di rilascio delle patch per i browser derivati Chromium.
• Eventuali segnalazioni di varianti dell'exploit in circolazione.
• Aggiornamenti dal Threat Analysis Group su campagne mirate contro utenti ad alto rischio.

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.

Fonti

⬆ Torna su

• https://www.fastweb.it/fastweb-plus/digital-dev-security/perche-aggiornare-subito-chrome-scoperta-vulnerabilita-zero-day/
• https://www.mrw.it/news/google-corregge-una-pericolosa-vulnerabilita-zero-day-in-chrome/
• https://www.punto-informatico.it/grave-bug-chrome-installare-subito-nuova-versione/
• https://edunews24.it/tecnologia/google-chrome-aggiornamento-di-emergenza-per-la-prima-falla-0-day-del-2026-prontamente-corretto
• https://www.redhotcyber.com/post/vulnerabilita-zero-day-in-google-chrome-aggiornare-subito-il-browser/
• https://assodigitale.it/google-chrome-rilascia-aggiornamento-critico-di-sicurezza-da-installare-immediatamente/
• https://www.tomshw.it/hardware/chrome-corregge-la-prima-zero-day-del-2025-2026-02-16