Google corregge CVE-2026-2441: prima zero-day del 2026 già sfruttata in attacchi reali
Vulnerabilità use-after-free nel motore CSS di Chrome consente esecuzione codice arbitrario. Aggiornamento urgente disponibile per Windows, macOS e Linux.
Contenuto
Scopri anche
- Google Chrome: vulnerabilità zero-day CVE-2026-2441 già sfruttata in attacchi reali
- Sicurezza Android: aggiornamenti, anti-furto e nuove protezioni
- F-35 e il dilemma del "jailbreak": le dichiarazioni olandesi riaccendono il dibattito sulla sovranità software
- CVE-2026-1731: CISA conferma sfruttamento attivo della vulnerabilità critica BeyondTrust
- Nvidia vs Broadcom: lo scontro tra giganti nel mercato dei chip AI
- F-35 e jailbreak: la dichiarazione del ministro olandese riapre il dibattito sulla sovranità software
- Vulnerabilità zero-day in Google Chrome: analisi delle falle critiche e aggiornamenti di sicurezza
- Vulnerabilità zero-day in WebKit: Apple rilascia patch urgente per attacchi mirati
- Google rilascia Gemini 3.1 Pro: il salto nel ragionamento che raddoppia le prestazioni
- Blocco Note Windows 11: corretta vulnerabilità critica nei link Markdown
- Vulnerabilità critica nel Blocco Note e problemi di riavvio: Windows 11 tra patch urgenti e bug sistemici
- Aggiornamenti Google Pixel 2026: correzioni tecniche e patch di sicurezza
- Google presenta Gemini 3: il nuovo modello LLM con ragionamento avanzato e capacità agentiche
- Windows 11: vulnerabilità critica nel Blocco Note e aggiornamento problematico KB5077181
- Vulnerabilità zero-day in WebKit: aggiornamenti di sicurezza per dispositivi Apple
- NotebookLM si integra con Gemini: cambia la gestione dei documenti
- Apple corregge vulnerabilità zero-day critiche: aggiornamenti urgenti per iOS, macOS e altri sistemi
- Microsoft Patch Tuesday febbraio 2026: 59 vulnerabilità corrette, sei zero-day già sfruttati
- Windows 10: Il nuovo aggiornamento KB5073724 e il futuro della sicurezza Microsoft - Edunews24
- Fine supporto Xiaomi: dispositivi senza aggiornamenti di sicurezza dal 2025
Google corregge CVE-2026-2441: prima zero-day del 2026 già sfruttata in attacchi reali
Google ha rilasciato un aggiornamento di sicurezza urgente per Chrome dopo la scoperta di una vulnerabilità zero-day attivamente sfruttata in attacchi reali. La falla, identificata come CVE-2026-2441, rappresenta la prima zero-day corretta nel corso del 2026 e ha richiesto un intervento accelerato sui canali stabili per Windows, macOS e Linux.
Caratteristiche tecniche della vulnerabilità
⬆ Torna suLa CVE-2026-2441 è classificata come un bug di tipo use-after-free con punteggio CVSS pari a 8.8. Questo tipo di errore si verifica quando il software tenta di accedere a un'area di memoria precedentemente liberata, causando comportamenti imprevisti e potenzialmente pericolosi. Nel caso specifico, il problema risiede nel componente CSSFontFeatureValuesMap, responsabile della gestione dei valori delle caratteristiche dei font CSS in Chrome.
Secondo la documentazione tecnica, l'errore è legato a una "iterator invalidation": un iteratore diventato invalido perché l'oggetto sottostante era stato modificato o liberato, mentre il browser tentava ancora di utilizzarlo. La vulnerabilità può consentire a un attaccante di provocare crash controllati del browser, corruzione di memoria ed esecuzione di codice arbitrario all'interno della sandbox.
Meccanismo di attacco e rischi
⬆ Torna suL'aspetto rilevante della vulnerabilità è che l'exploit non richiede interazioni complesse da parte dell'utente. È sufficiente visitare una pagina web contenente font manipolati per innescare l'attacco. Non è necessario cliccare link o scaricare file: il caricamento in memoria del codice avviene quando si apre la pagina web.
Un malintenzionato può quindi eseguire codice arbitrario all'interno della sandbox del browser e, potenzialmente, tentare di eludere le protezioni di sistema per ottenere privilegi più elevati o installare malware persistente. In scenari avanzati, la vulnerabilità può diventare un tassello di una catena di exploit più ampia, combinata con bug nel sistema operativo o in driver.
Scoperta e risposta di Google
⬆ Torna suLa vulnerabilità è stata segnalata a Google l'11 febbraio 2026 dal ricercatore di sicurezza Shaheen Fazim. L'azienda ha sviluppato e distribuito la correzione in pochi giorni, rilasciando l'aggiornamento il 16 febbraio 2026. La rapidità dell'intervento sottolinea la criticità della situazione.
I messaggi di commit nel progetto Chromium indicano che la patch affronta "il problema immediato", ma menzionano "lavori rimanenti" tracciati nel bug 483936078. Il fix è stato contrassegnato come "cherry-picked", ovvero retroportato su versioni stabili tramite multipli commit: una procedura che Google riserva a vulnerabilità ad alto impatto che non possono attendere le normali release programmate.
Versioni correttive e distribuzione
⬆ Torna suLe versioni correttive sono in distribuzione sul canale Stable Desktop: Chrome 145.0.7632.75/76 per Windows e macOS e Chrome 144.0.7559.75 per Linux. La distribuzione avviene in modo progressivo, ma il rilascio simultaneo sui tre principali sistemi operativi evidenzia l'urgenza dell'intervento.
Google ha confermato ufficialmente "l'esistenza di un exploit per CVE-2026-2441 utilizzato attivamente". L'azienda mantiene il riserbo sui dettagli tecnici: l'accesso alle informazioni complete rimarrà limitato finché la maggioranza degli utenti non avrà ricevuto la patch. Questa politica di disclosure minimale serve a evitare che criminali informatici replichi o industrializzi gli exploit prima che la base utenti sia protetta.
Procedura di aggiornamento
⬆ Torna suPer verificare la versione installata e applicare l'aggiornamento, è necessario aprire il menu di Chrome in alto a destra, selezionare "Guida > Informazioni su Google Chrome". Il browser controllerà automaticamente la presenza di aggiornamenti e mostrerà il numero di build attivo. Dopo il download, è sufficiente riavviare il browser per applicare la patch.
Nei contesti aziendali, è consigliabile forzare il riavvio dei browser e comunicare internamente la criticità del problema, integrando il controllo versione nelle checklist di sicurezza. Anche i browser basati su Chromium come Edge, Brave, Opera e Vivaldi beneficeranno delle stesse correzioni quando saranno rese disponibili nei rispettivi canali di aggiornamento.
Contesto storico
⬆ Torna suQuesto zero-day è il primo del 2026 per Chrome. Nel corso del 2025, Google ha corretto otto vulnerabilità zero-day sfruttate attivamente contro gli utenti del browser. Molte di queste falle sono state identificate dal Threat Analysis Group (TAG), il team che monitora campagne di spyware e attacchi mirati contro giornalisti, dissidenti e attivisti per i diritti umani.
Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.
Implicazioni e scenari
⬆ Torna suLa correzione rapida di CVE-2026-2441 riduce il rischio immediato, ma l'esistenza di un exploit attivo suggerisce possibili sviluppi nei prossimi giorni.
- Scenario 1: la distribuzione progressiva della patch contiene l'impatto entro fine febbraio, con casi limitati tra utenti che non aggiornano tempestivamente.
- Scenario 2: browser basati su Chromium come Edge, Brave e Opera rimangono potenzialmente esposti finché non ricevono la correzione nei rispettivi canali.
- Scenario 3: l'exploit potrebbe essere combinato con vulnerabilità nel sistema operativo per superare le protezioni della sandbox, estendendo l'attacco oltre il browser.
Cosa monitorare
⬆ Torna su- Tempistiche di rilascio della patch sui browser Chromium-based alternativi.
- Segnalazioni di campagne di attacco mirate, coerenti con l'attività monitorata dal Threat Analysis Group.
- Eventuali commit aggiuntivi legati al bug 483936078 menzionato nei lavori rimanenti.
Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.
Fonti
⬆ Torna su- https://www.fastweb.it/fastweb-plus/digital-dev-security/perche-aggiornare-subito-chrome-scoperta-vulnerabilita-zero-day/
- https://www.mrw.it/news/google-corregge-una-pericolosa-vulnerabilita-zero-day-in-chrome/
- https://www.punto-informatico.it/grave-bug-chrome-installare-subito-nuova-versione/
- https://edunews24.it/tecnologia/google-chrome-aggiornamento-di-emergenza-per-la-prima-falla-0-day-del-2026-prontamente-corretto
- https://www.redhotcyber.com/post/vulnerabilita-zero-day-in-google-chrome-aggiornare-subito-il-browser/
- https://assodigitale.it/google-chrome-rilascia-aggiornamento-critico-di-sicurezza-da-installare-immediatamente/
- https://www.tomshw.it/hardware/chrome-corregge-la-prima-zero-day-del-2025-2026-02-16
In breve
- zero
- vulnerabilita
- cve
- patch