Scopri anche

• Vulnerabilità zero-day critica in Cisco SD-WAN sfruttata dal 2023: CISA emette direttiva d'emergenza
• Google AI Plus: il piano di abbonamento intermedio arriva in Italia a 7,99 euro al mese
• CVE-2026-1731: CISA conferma sfruttamento attivo della vulnerabilità critica BeyondTrust
• OpenClaw, l'agente AI vietato da Meta per gravi vulnerabilità di sicurezza
• Intelligenza artificiale 2026: anno della verità tra crisi di monetizzazione, sfide etiche e strategie divergenti
• Google Chrome: vulnerabilità zero-day corrette, aggiornamento urgente richiesto
• iOS 26.3.1: Apple testa aggiornamento di manutenzione con focus su sicurezza
• Gemini 3 Deep Think e Agentic Vision: le nuove capacità di ragionamento di Google
• Google corregge CVE-2026-2441: prima zero-day del 2026 già sfruttata in attacchi reali
• Consumi energetici dell'IA: i dati di OpenAI e Google su query, addestramento e impatto ambientale
• iOS 26: aggiornamenti, novità e risoluzione problemi
• L'automazione aziendale tra intelligenza artificiale e processi operativi
• Google Chrome: vulnerabilità zero-day CVE-2026-2441 già sfruttata in attacchi reali
• L'evoluzione degli assistenti virtuali: da Bixby a Mico, l'IA ridefinisce l'interazione uomo-macchina
• Patch Tuesday febbraio 2026: sei zero-day già sfruttate, Google corregge falla critica in Chrome
• AMD nomina Ariel Kelman come nuovo Chief Marketing Officer per rafforzare la strategia AI
• Vulnerabilità zero-day in WebKit: Apple rilascia patch urgente per attacchi mirati
• Borderlands 4 e Steam Deck: l'analisi tecnica sul badge Verified
• Vulnerabilità zero-day in Google Chrome: analisi delle falle critiche e aggiornamenti di sicurezza
• AI e sviluppatori: l'intelligenza artificiale come moltiplicatore di capacità, non sostituto

Google corregge CVE-2026-2441: vulnerabilità zero-day già sfruttata attivamente in Chrome

Google rilascia patch urgente per Chrome: CVE-2026-2441 è una zero-day già sfruttata in attacchi reali

Google ha pubblicato un aggiornamento di sicurezza urgente per il browser Chrome che corregge una vulnerabilità zero-day attivamente sfruttata in attacchi reali. La falla, identificata come CVE-2026-2441, rappresenta la prima vulnerabilità di questo tipo risolta nel corso del 2026 e richiede un intervento immediato da parte degli utenti.

Le versioni corrette sono la 145.0.7632.75/76 per Windows e macOS, e la 144.0.7559.75 per Linux. L'aggiornamento è in fase di distribuzione graduale attraverso il canale Stable Desktop, ma Google raccomanda di verificare manualmente la presenza della patch anziché attendere il rilascio automatico.

Dettagli tecnici della vulnerabilità CVE-2026-2441

⬆ Torna su

La vulnerabilità è classificata come un bug di tipo use-after-free nel componente CSSFontFeatureValuesMap, che gestisce i valori delle caratteristiche dei font CSS nel browser. Secondo la cronologia dei commit del progetto Chromium, la falla è stata scoperta dal ricercatore di sicurezza Shaheen Fazim l'11 febbraio 2026.

Il punteggio CVSS assegnato alla vulnerabilità è pari a 8,8, che ne conferma la gravità elevata. Un difetto use-after-free si verifica quando il browser tenta di accedere a una locazione di memoria già liberata o cancellata. In queste condizioni, un aggressore può caricare codice malevolo nella locazione di memoria interessata e ottenere la sua esecuzione.

Come descritto nel database NIST (National Vulnerability Database), CVE-2026-2441 permette a un attaccante remoto di eseguire codice arbitrario all'interno della sandbox di Chrome attraverso una pagina HTML appositamente predisposta. La particolarità di questa vulnerabilità risiede nel fatto che non richiede interazione da parte dell'utente: il caricamento del codice infetto avviene automaticamente all'apertura di una pagina web contenente font speciali progettati per sfruttare la falla.

Conferma dello sfruttamento attivo

⬆ Torna su

Google ha confermato ufficialmente l'esistenza di exploit attivamente utilizzati in natura. In una nota di rilascio del 13 febbraio 2026, l'azienda ha dichiarato di essere consapevole di un exploit per CVE-2026-2441 già in circolazione. Questa classificazione come zero-day indica che la vulnerabilità era già nota e utilizzata da attori malevoli prima che il produttore potesse sviluppare e distribuire una correzione.

L'azienda mantiene il riserbo sui dettagli tecnici completi dell'incidente seguendo la politica di divulgazione responsabile. L'accesso alle informazioni dettagliate sul bug rimarrà limitato finché la maggior parte degli utenti non avrà installato la correzione, una precauzione che si estende anche quando la vulnerabilità interessa librerie di terze parti utilizzate da altri progetti non ancora aggiornati.

Altre vulnerabilità corrette nell'aggiornamento

⬆ Torna su

Oltre a CVE-2026-2441, l'aggiornamento include correzioni per ulteriori vulnerabilità classificate come alta gravità. CVE-2026-3061 riguarda un out-of-bounds read nel componente Media, che permette l'accesso a memoria non autorizzata tramite file multimediali malformati o contenuti web. Questo tipo di falla è particolarmente critica perché le pipeline di elaborazione media sono esposte a input non fidati, facilitando drive-by download da siti compromessi.

CVE-2026-3062 è considerata tecnicamente la più severa. Riguarda il compilatore shader Tint per WebGPU e soffre di un out-of-bounds read/write. Con la crescente adozione di WebGPU per grafica accelerata e rendering AI, questa vulnerabilità espande la superficie di attacco. Le scritture fuori bounds causano memory corruption, abilitando il controllo arbitrario della memoria e potenzialmente l'escape dalla sandbox.

CVE-2026-3063 riguarda un'implementazione errata in DevTools che può causare cross-origin data leaks o bypass di policy di sicurezza. Sebbene meno diretta per l'esecuzione remota di codice, questa falla può essere utile in attacchi avanzati per estrarre dati sensibili o elevare privilegi durante sessioni di debug.

Impatto su browser basati su Chromium

⬆ Torna su

Poiché il motore principale di Chrome è condiviso tra numerosi browser, la stessa CVE-2026-2441 interessa anche altri prodotti. Opera ha pubblicato un aggiornamento sul canale Stable datato 14 febbraio 2026, riportando la vulnerabilità tra le correzioni di sicurezza della versione 127.0.5778.64.

Anche Vivaldi ha rilasciato un aggiornamento minore per la versione 7.8 del browser desktop, aggiornando il motore Chromium alla versione 144 ESR (144.0.7559.175). Le note di rilascio di Vivaldi segnalano esplicitamente l'esistenza di exploit noti in circolazione per questa vulnerabilità.

Procedure di aggiornamento

⬆ Torna su

Per verificare la versione installata di Chrome, è necessario aprire il menu tramite i tre puntini verticali in alto a destra, selezionare "Guida" e successivamente "Informazioni su Google Chrome". Il browser verificherà automaticamente la presenza di aggiornamenti e mostrerà il numero di build attivo. Se un aggiornamento è disponibile, verrà scaricato e sarà necessario riavviare il browser per applicare la patch.

Gli utenti Linux possono verificare la versione tramite il comando /usr/bin/google-chrome --version e forzare l'aggiornamento con google-chrome --check-for-update. In ambienti gestiti, le organizzazioni possono utilizzare politiche GPO o MDM per l'applicazione forzata degli aggiornamenti.

Per gli utenti di Opera e Vivaldi, la procedura consigliata è identica: verificare la versione attraverso la sezione di aggiornamento integrata nel browser e assicurarsi di avere installato le versioni corrette o successive, quindi riavviare il browser per caricare il codice patchato.

Contesto storico e misure preventive

⬆ Torna su

CVE-2026-2441 rappresenta la prima zero-day corretta da Google nel 2026. Nel corso del 2025, l'azienda ha risolto otto vulnerabilità zero-day. Molte di queste erano state identificate dal Threat Analysis Group (TAG), il team specializzato nel tracciamento di exploit utilizzati in campagne di spyware mirate contro giornalisti, dissidenti e attivisti per i diritti umani.

La rapidità della risposta di Google a questa vulnerabilità conferma l'efficacia dei programmi di bug bounty, degli audit interni continui e del fuzzing automatizzato. Ricercatori esterni segnalano falle ricevendo ricompense, mentre i team interni monitorano l'utilizzo di exploit in campagne mirate.

Secondo i dati citati nelle fonti, circa l'80% delle brecce di sicurezza ha origine da software non aggiornato. Mantenere Chrome aggiornato rappresenta quindi una misura di protezione essenziale per ridurre l'esposizione ad attacchi che potrebbero portare a installazione di ransomware, furto di password salvate, compromissione di dati bancari e utilizzo del dispositivo per attività illecite.

Natura temporanea della correzione

⬆ Torna su

I messaggi di commit indicano che la correzione rilasciata affronta il problema immediato, ma segnalano l'esistenza di lavori rimanenti tracciati nel bug 483936078. Questo suggerisce che la soluzione potrebbe essere temporanea o che esistono problematiche correlate ancora da risolvere. La patch è stata contrassegnata come cherry-picked, ovvero retroportata attraverso multipli commit, una procedura che Google adotta quando la gravità della situazione richiede l'inclusione immediata in una release stabile anziché attendere la prossima versione maggiore.

Con oltre 3 miliardi di installazioni attive, Chrome rimane un bersaglio primario per gli aggressori informatici. La superficie di attacco rappresentata dal browser rende critica l'applicazione tempestiva delle correzioni di sicurezza, specialmente quando si tratta di vulnerabilità già sfruttate in attacchi reali.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

⬆ Torna su

La correzione di CVE-2026-2441 arriva in risposta a sfruttamento già attivo, ma diversi elementi suggeriscono implicazioni più ampie per l'ecosistema browser e la sicurezza degli utenti.

• Scenario 1: La natura temporanea della patch, evidenziata dai lavori rimanenti tracciati nel bug interno, potrebbe richiedere ulteriori interventi nelle prossime release per una risoluzione definitiva.
• Scenario 2: Browser basati su Chromium come Opera e Vivaldi rimangono potenzialmente esposti finché non completano la distribuzione degli aggiornamenti allineati alla versione corretta.
• Scenario 3: La distribuzione graduale della patch lascia una finestra temporale in cui utenti con aggiornamenti automatici ritardati potrebbero rimanere vulnerabili ad attacchi mirati.

Cosa monitorare

⬆ Torna su

• Eventuali comunicazioni su fix definitivi per il bug 483936078 citato nei commit.
• Aggiornamenti di sicurezza per gli altri browser Chromium-based non ancora menzionati.
• Segnalazioni di campagne di attacco che sfruttano la finestra temporale pre-patch.

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.

Fonti

⬆ Torna su

• https://prothect.it/browser/aggiornamento-urgente-per-google-chrome-corregge-tre-vulnerabilita-critiche/
• https://www.notebookcheck.net/Chrome-145-update-fixes-critical-CVE-2026-2441-zero-day-vulnerability.1228593.0.html
• https://www.fastweb.it/fastweb-plus/digital-dev-security/perche-aggiornare-subito-chrome-scoperta-vulnerabilita-zero-day/
• https://www.punto-informatico.it/grave-bug-chrome-installare-subito-nuova-versione/
• https://www.tomshw.it/hardware/chrome-corregge-la-prima-zero-day-del-2025-2026-02-16
• https://sicurezza.net/aggiornamento-chrome-correggi-subito-le-vulnerabilita/
• https://en.eloutput.com/news/applications/The-critical-Chrome-patch-that-fixes-it-and-why-you-should-update-now/