Scopri anche

• Certificazione NATO per iPhone e le minacce digitali: sicurezza e attacchi
• Google Pixel Drop di marzo 2026: novità AI, modalità desktop e sicurezza
• Vulnerabilità software e cybersecurity: come proteggersi dagli attacchi informatici
• Vulnerabilità critiche in Google Gemini: dai bug di Chrome agli attacchi sponsorizzati da stati
• Apple rilascia aggiornamenti di sicurezza per iPhone e iPad datati: protegge dispositivi fino a un decennio
• Samsung Galaxy Z Fold 7: aggiornamenti software e analisi del dispositivo pieghevole
• Vulnerabilità zero-day critica in Cisco SD-WAN sfruttata dal 2023: CISA emette direttiva d'emergenza
• iOS 26.3.1: Apple prepara l'aggiornamento di manutenzione per iPhone
• Apple stringe partnership con Google per potenziare Siri con Gemini AI
• Marathon: Bungie adotta tolleranza zero contro i cheater con ban permanenti immediati
• Samsung Galaxy: aggiornamenti sicurezza 2026 e rilascio One UI 8 con funzioni AI
• Samsung Galaxy: aggiornamenti sicurezza febbraio 2026 per serie S24, S23 ed S25
• Ford richiama oltre 4 milioni di veicoli per vulnerabilità software nel modulo rimorchio
• Aggiornamenti Android e Play Store: cause dei malfunzionamenti e procedure di risoluzione
• Ransomware 2025-2026: il firewall diventa il punto di ingresso nel 90% degli attacchi
• Google corregge CVE-2026-2441: vulnerabilità zero-day già sfruttata attivamente in Chrome
• Ford richiama oltre 4,3 milioni di veicoli per vulnerabilità software nel modulo rimorchio
• L'intelligenza artificiale nell'astronomia e nella ricerca scientifica: modelli a confronto
• Le chiavi BootROM della PlayStation 5 trapelano online: una vulnerabilità hardware irreversibile
• Google Chrome: vulnerabilità zero-day corrette, aggiornamento urgente richiesto

Vulnerabilità zero-day: Google e Apple corrono ai ripari dopo attacchi attivi

Vulnerabilità zero-day: Google e Apple corrono ai ripari dopo attacchi attivi

Un aggiornamento di sicurezza rilasciato da Google a metà febbraio 2026 ha corretto una vulnerabilità zero-day nel browser Chrome già sfruttata in attacchi reali. La vulnerabilità, identificata come CVE-2026-2441, è classificata ad alta gravità ed è stata corretta tramite un aggiornamento di emergenza distribuito nel canale Stable del browser. Google ha confermato la presenza di exploit attivi nel mondo reale, senza fornire dettagli completi per evitare la replicazione degli attacchi prima dell'adozione diffusa delle patch.

La scoperta riporta l'attenzione su un vettore di compromissione che storicamente ha rappresentato uno degli obiettivi più ricercati da attori APT e cybercriminali: il browser, porta di accesso privilegiata per l'interazione quotidiana con servizi online, dati sensibili e infrastrutture aziendali. Nel solo 2025 Google ha corretto almeno 8 vulnerabilità zero-day attivamente sfruttate in Chrome, confermando un trend di attacchi sempre più sofisticati rivolti alla superficie di attacco dei browser moderni.

Cosa sono le vulnerabilità zero-day

⬆ Torna su

Il termine "zero-day" descrive vulnerabilità della sicurezza scoperte di recente e utilizzate dagli hacker per attaccare i sistemi. La definizione fa riferimento al fatto che il fornitore o lo sviluppatore è appena venuto a conoscenza della falla e ha "zero giorni" di tempo per risolvere il problema. Un attacco zero-day viene sferrato quando gli hacker sfruttano la falla prima che gli sviluppatori abbiano la possibilità di porvi rimedio.

Si tratta di vulnerabilità non espressamente note allo sviluppatore o alla casa che ha prodotto un determinato sistema informatico. Definisce anche il programma, detto "exploit", che sfrutta questa vulnerabilità per consentire l'esecuzione di azioni non normalmente permesse da chi ha progettato il sistema. Nel momento in cui il bug viene risolto, lo zero-day perde parte della sua importanza perché non può più essere usato contro i sistemi aggiornati.

Normalmente si parla di zero-day riferendosi ad attività espressamente dolose compiute da cracker che si adoperano per trovarle con l'intenzione di guadagnarsi un accesso abusivo a un sistema informatico vulnerabile oppure di causare comportamenti imprevisti che possono andare dalla perdita di dati a malfunzionamenti gravi.

La tecnica dell'attacco: use-after-free nel motore CSS

⬆ Torna su

Dal punto di vista tecnico, la vulnerabilità CVE-2026-2441 consiste in un errore di gestione della memoria chiamato use-after-free, cioè l'uso di una porzione di memoria già liberata, che in questo caso si verifica nel sottosistema CSS del motore di rendering. Si tratta di una categoria di vulnerabilità che si manifesta quando un puntatore continua a essere utilizzato dopo che l'area di memoria a cui fa riferimento è stata liberata.

In un browser, questa situazione può essere sfruttata per alterare la memoria heap, la zona di memoria dinamica usata dal programma per le allocazioni durante l'esecuzione, e arrivare a eseguire codice arbitrario all'interno del processo di rendering, il componente che si occupa di interpretare e visualizzare le pagine Web. L'exploit può essere attivato inducendo l'utente ad aprire una pagina HTML appositamente costruita, scenario tipico di campagne di phishing o watering hole, una tecnica di attacco in cui i criminali compromettono un sito Web frequentato abitualmente da un gruppo specifico di utenti.

Anche se l'esecuzione avviene inizialmente nel contesto sandbox del browser, catene di exploit più complesse possono concatenare ulteriori vulnerabilità per evadere il perimetro di isolamento e ottenere privilegi più elevati. Il sandboxing di Chrome riduce l'impatto immediato ma non lo elimina: exploit avanzati combinano bug nel renderer con vulnerabilità nel kernel o nei servizi di sistema per l'acquisizione di privilegi più elevati.

Google e Apple: aggiornamenti d'emergenza coordinati

⬆ Torna su

Parallelamente agli interventi su Chrome, Apple ha rilasciato pacchetti di aggiornamenti per i suoi prodotti, tra cui iPhone, iPad, computer Mac, la cuffia Vision Pro, Apple TV, Apple Watch e il browser Safari. Nel bollettino di sicurezza per iPhone e iPad, l'azienda ha comunicato di aver risolto due errori specifici. Rappresentanti di Apple hanno dichiarato di essere a conoscenza del fatto che il problema potrebbe essere stato sfruttato in un "attacco estremamente sofisticato contro specifici individui" che utilizzavano dispositivi con versioni precedenti a iOS 16.

Google ha indicato che la vulnerabilità era stata scoperta in collaborazione con il team di sicurezza di Apple (Apple Security Engineering) e il Google Threat Analysis Group, quest'ultimo specializzato nell'indagine di attività hacker sponsorizzate da stati e produttori di spyware. La collaborazione tra le due aziende rivali evidenzia la serietà della minaccia e la necessità di unire le forze per contrastare il crimine informatico.

Google ha corretto la falla nelle versioni stabili più recenti del browser, tra cui Chrome 145.0.7632.75 e 145.0.7632.76 per Windows e macOS, oltre alla build 144.0.7559.75 per Linux. Gli aggiornamenti richiedono il riavvio del browser per essere applicati.

Il contesto globale: 75 attacchi zero-day nel 2024

⬆ Torna su

Secondo il Threat Analysis Group di Google, nel 2024 sono stati documentati 75 attacchi zero-day, un numero inferiore rispetto ai 98 del 2023 ma che conferma la presenza costante e la pericolosità di questa minaccia. Più della metà di queste violazioni è stata utilizzata per operazioni di spionaggio informatico, mentre il resto ha coinvolto attacchi con finalità economiche, sabotaggi o incursioni mirate contro infrastrutture sensibili.

I principali responsabili, secondo il report, sono gruppi sponsorizzati da governi (come Cina, Corea del Nord e Russia), cybercriminali indipendenti e fornitori di spyware commerciali. Gli analisti sono riusciti a stabilire l'origine di una parte significativa: cinque casi hanno coinvolto gruppi sostenuti dalla Cina e dalla Corea del Nord, con gli hacker nordcoreani che hanno perseguito sia obiettivi di intelligence sia finanziari. Altri cinque attacchi sono stati portati avanti da gruppi indipendenti di criminalità informatica. Almeno tre casi di sfruttamento di vulnerabilità critiche sono stati attribuiti alla Russia.

Di particolare preoccupazione per i ricercatori sono le attività dei fornitori commerciali di spyware, software spia utilizzati per infiltrarsi nei dispositivi e monitorare le comunicazioni. Attacchi di questo tipo sono spesso attribuiti a gruppi come NSO Group o Paragon Solutions, che operano con il sostegno di strutture governative e prendono di mira giornalisti e attivisti per i diritti umani.

Browser e dispositivi mobili nel mirino

⬆ Torna su

La particolarità degli attacchi rilevati nel 2024 è una grande diversificazione degli obiettivi. Mentre gli attacchi su larga scala tendono a colpire infrastrutture aziendali e servizi cloud, la maggior parte degli exploit individuati ha preso di mira dispositivi di uso quotidiano, come smartphone e browser web.

Tra i software più colpiti figura Google Chrome, che nel 2024 ha registrato 11 vulnerabilità zero-day, rispetto alle 17 del 2023. Windows ha registrato 22 vulnerabilità di questo tipo, un numero in crescita rispetto ai 17 dell'anno precedente. Presi di mira anche i sistemi e i dispositivi di rete con 20 vulnerabilità gravi in software e apparecchiature per la sicurezza aziendale, che da sole hanno rappresentato oltre il 60% degli attacchi informatici contro le infrastrutture IT.

Nel segmento della tecnologia sono stati identificati 20 falle critiche nei sistemi di sicurezza e nelle apparecchiature di rete che hanno rappresentato oltre il 60% di tutti i casi di attacchi alle infrastrutture aziendali. Il programma per la navigazione online Chrome è rimasto l'obiettivo principale tra i browser, mentre il sistema operativo Windows ha mostrato il maggiore incremento nel numero di difetti critici. Nel settore aziendale, gli obiettivi più comuni degli attacchi sono stati i servizi cloud Ivanti, riflesso della maggiore attenzione degli autori delle minacce sui prodotti di rete e sicurezza.

Le difficoltà di difesa contro exploit sconosciuti

⬆ Torna su

Le vulnerabilità zero-day sono particolarmente pericolose perché prendono di mira falle dei software ancora sconosciute. Dal momento che gli attacchi zero-day sono generalmente sconosciuti al pubblico, è spesso difficile difendersi da essi. Gli attacchi zero-day sono spesso efficaci contro reti "sicure" e possono rimanere ignoti anche dopo che vengono lanciati.

Le vulnerabilità di tipo memory corruption come use-after-free e type confusion sono tra le più sfruttate perché consentono di manipolare il layout della memoria heap e iniettare codice. In un attacco tipico, il codice malevolo forza condizioni di allocazione e deallocazione controllate, creando una finestra temporale in cui un oggetto liberato è riutilizzato per eseguire istruzioni arbitrarie.

Per la protezione zero-day, è essenziale per i singoli utenti e le organizzazioni seguire le best practice di cybersecurity. Mantenere aggiornati tutti i software e i sistemi operativi è fondamentale: i fornitori includono nelle nuove versioni patch di sicurezza che coprono le vulnerabilità appena identificate. Usare solo le applicazioni essenziali riduce le potenziali vulnerabilità. Un firewall svolge un ruolo essenziale nella protezione del sistema dalle minacce zero-day, configurato per consentire solo le transazioni necessarie.

Metodi di rilevamento e strategie difensive

⬆ Torna su

La protezione zero-day richiede tecniche avanzate che vanno oltre gli strumenti di sicurezza tradizionali. I metodi di rilevamento zero-day includono il monitoraggio dell'attività per individuare traffico imprevisto o attività sospetta di scansione, l'analisi euristica per esaminare il codice e rilevare malware nuovi o modificati, e l'uso di tecnologie di machine learning che imparano continuamente da grandi set di dati per prevedere e segnalare anomalie.

La maggior parte delle tecniche esiste per limitare l'efficacia delle vulnerabilità zero-day che corrompono la memoria, come i buffer overflow. Questi meccanismi di protezione esistono negli attuali sistemi operativi come macOS, Windows, Solaris, Linux e ambienti Unix-like. Il software di protezione dei desktop e server esiste anche per ridurre le vulnerabilità zero-day di buffer overflow, tipicamente sfruttando algoritmi euristici per bloccare i buffer overflow prima che causino danni.

Anche se utile, l'analisi del codice ha limitazioni significative: non è sempre semplice determinare a cosa una sezione del codice è destinata, in particolare se è complessa ed è stata scritta deliberatamente per ostacolarne l'analisi. Un approccio per superare queste limitazioni è l'esecuzione di sospette sezioni di codice in una sandbox e l'osservazione dei comportamenti, metodo che può essere ordini di grandezza più veloce dell'analisi dello stesso codice.

Il mercato degli exploit e la finestra di vulnerabilità

⬆ Torna su

Gli exploit sono in vendita sul Dark Web a cifre esorbitanti. Dopo che un exploit è stato individuato e corretto, non costituisce più una minaccia zero-day. Esistono differenti ideologie relative alla collezione e uso delle informazioni delle vulnerabilità zero-day: alcune aziende di sicurezza informatica compie ricerche su queste vulnerabilità per capirne la natura, mentre altre aziende le comprano per accrescere la loro capacità di ricerca.

Il tempo che intercorre tra la prima volta che un exploit diventa attivo e quando il numero di sistemi vulnerabili si riduce fino a diventare insignificante è chiamato finestra di vulnerabilità. Per le vulnerabilità normali, il distributore di software ha il tempo di pubblicare una patch di sicurezza prima che un hacker abbia il tempo di creare un exploit funzionante. Per gli exploit zero-day, l'exploit diventa attivo prima che una patch sia stata resa disponibile.

Non divulgando le vulnerabilità note, un distributtore di software spera di raggiungere la correzione prima che l'exploit venga sfruttato. Tuttavia, il distributore non ha garanzie che l'hacker non trovi delle vulnerabilità per conto proprio. Tra l'altro, le patch di sicurezza possono essere analizzate per rilevare le vulnerabilità sottostanti e generare automaticamente exploit funzionanti.

Casi storici e attacchi recenti

⬆ Torna su

Uno degli esempi più noti di attacco zero-day è stato Stuxnet, scoperto per la prima volta nel 2010 ma risalente al 2005. Questo worm informatico dannoso colpiva i computer destinati alla produzione che eseguivano software PLC (Programmable Logic Controller). L'obiettivo principale erano gli impianti di arricchimento dell'uranio in Iran per fermare il programma nucleare del paese. Sfruttando le vulnerabilità del software Siemens Step7, il worm infettava i PLC che eseguivano comandi imprevisti sui macchinari della catena di montaggio.

Nel 2021 Chrome di Google è stato oggetto di una serie di minacce zero-day, con aggiornamenti rilasciati per correggere vulnerabilità aventi origine da un bug nel motore JavaScript V8. È stata trovata una vulnerabilità nella popolare piattaforma per videoconferenze Zoom: gli hacker accedevano da remoto al PC di un utente che eseguiva una versione meno recente di Windows. Se l'obiettivo era un amministratore, l'hacker poteva prendere il controllo completo del computer e accedere a tutti i file.

iOS di Apple viene spesso definito come la più sicura tra le principali piattaforme smartphone, ma nel 2020 è stato vittima di almeno due set di vulnerabilità zero-day, tra cui un bug che ha consentito agli autori dell'attacco di compromettere gli iPhone da remoto. Un altro exploit ha compromesso account bancari personali: le vittime hanno involontariamente aperto un documento di Word dannoso che conteneva una richiesta di caricamento di contenuto remoto, visualizzando una finestra pop-up per l'accesso esterno. Quando le vittime facevano clic su "sì", nel dispositivo veniva installato un malware in grado di acquisire le credenziali d'accesso bancarie.

Strategie di mitigazione e aggiornamenti automatici

⬆ Torna su

La principale misura di difesa resta l'aggiornamento tempestivo del software. Chrome utilizza un sistema di aggiornamenti automatici, ma ambienti aziendali e sistemi gestiti centralmente possono introdurre ritardi nella distribuzione delle patch. In questi contesti è essenziale monitorare gli advisory di sicurezza e applicare aggiornamenti fuori ciclo quando sono segnalati exploit attivi.

Le strategie di mitigazione includono la segmentazione della rete, dividendo la rete in sezioni più piccole e isolate per prevenire che un attacco zero-day si diffonda in tutto il sistema. L'application whitelisting consente solo l'esecuzione di programmi approvati, rendendo più difficile per gli exploit zero-day eseguire codice non autorizzato. L'uso di sistemi di rilevamento delle intrusioni che monitorano il traffico di rete per comportamenti sospetti può bloccare potenziali attacchi zero-day in tempo reale.

L'educazione degli utenti nelle organizzazioni riveste un ruolo fondamentale: molti attacchi zero-day sfruttano l'errore umano. Insegnare a dipendenti e utenti buone abitudini di sicurezza li protegge dalle minacce online e difende le organizzazioni dagli exploit zero-day e da altre minacce digitali.

Segnali positivi e prospettive future

⬆ Torna su

Secondo gli esperti di Google ci sono segnali incoraggianti: le tecniche di sviluppo software stanno diventando più resistenti e questo rende più difficile per i malintenzionati individuare eventuali falle nella sicurezza, soprattutto per quel che riguarda browser e sistemi operativi mobile, storicamente tra i bersagli preferiti degli hacker. "Stiamo assistendo ad una notevole diminuzione dello sfruttamento zero-day di alcuni obiettivi storicamente popolari come i browser e i sistemi operativi mobili", conclude il rapporto di Google.

Tuttavia, questo non significa che il rischio stia scomparendo. Lo sviluppo di nuove tecnologie sempre più complesse e la crescente diffusione dell'intelligenza artificiale stanno dando nuovi spunti ai cybercriminali, già partiti alla ricerca di altre vulnerabilità da sfruttare. Le aziende devono imparare ad anticipare le minacce informatiche, optando per un monitoraggio proattivo in grado di rilevare a monte eventuali violazioni e garantire standard di sicurezza più elevati per privati e aziende.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

⬆ Torna su

La correzione immediata di CVE-2026-2441 suggerisce una minaccia concreta e in corso, dove il ritardo nell'applicazione delle patch rimane il fattore critico per la sicurezza degli utenti.

• Scenario 1: Gli attori malevoli potrebbero continuare a sfruttare la vulnerabilità use-after-free tramite tecniche di watering hole contro obiettivi che non hanno ancora riavviato il browser.
• Scenario 2: La collaborazione tra aziende rivali come Google e Apple potrebbe intensificarsi per contrastare più efficacemente i produttori di spyware commerciali.
• Scenario 3: È plausibile un incremento degli attacchi verso dispositivi mobili e infrastrutture di rete, considerata la diversificazione degli obiettivi emersa dall'analisi delle minacce.

Cosa monitorare

⬆ Torna su

• Il tasso di adozione degli aggiornamenti di sicurezza su browser e dispositivi mobili nelle settimane successive al rilascio.
• Le eventuali attribuzioni degli attacchi a specifici gruppi sponsorizzati da stati o produttori di spyware citati nei report globali.
• L'evoluzione delle tecniche di evasione del sandboxing nei prossimi exploit.

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.

Fonti

⬆ Torna su

• https://www.ilsoftware.it/chrome-corretto-il-primo-zero-day-2026-gia-sfruttato-in-attacchi/
• https://it.wikipedia.org/wiki/0-day
• https://infogioco.it/altro/tecnologia/emergenza-cybersecurity-google-e-apple-corrono-ai-ripari
• https://www.splashtop.com/blog/zero-day-vulnerabilities
• https://www.kaspersky.it/resource-center/definitions/zero-day-exploit
• https://www.libero.it/tecnologia/nuovi-attacchi-zero-day-browser-device-mobile-101215
• https://www.laregione.ch/rubriche/tecnologia/1834705/cresce-la-minaccia-degli-attacchi-informatici-zero-day-nonostante-il-calo-delle-vulnerabilita