Vulnerabilità zero-day in Google Chrome: analisi delle falle critiche e aggiornamenti di sicurezza

Google ha corretto molteplici vulnerabilità zero-day in Chrome nel corso del 2024-2026. Analisi tecnica delle falle CVE-2026-2441, CVE-2025-2783, CVE-2025-1322…

Contenuto

Vulnerabilità zero-day in Google Chrome: analisi delle falle critiche e aggiornamenti di sicurezza

Scopri anche

Vulnerabilità zero-day in Google Chrome: analisi delle falle critiche e aggiornamenti di sicurezza

Vulnerabilità zero-day in Google Chrome: cronologia delle falle critiche e aggiornamenti

In questo articolo:

Google ha rilasciato aggiornamenti di sicurezza per correggere diverse vulnerabilità zero-day in Chrome tra il 2024 e il 2026. Le falle, alcune già sfruttate attivamente in attacchi mirati, riguardano componenti critici del browser come il motore JavaScript V8, le librerie grafiche ANGLE e i meccanismi di gestione dei font CSS. Gli aggiornamenti sono stati distribuiti attraverso i canali stabili per Windows, macOS e Linux.

La vulnerabilità CVE-2026-2441: prima zero-day del 2026

⬆ Torna su

Google ha distribuito un aggiornamento urgente per Chrome che risolve la vulnerabilità zero-day CVE-2026-2441, identificata come la prima di questa gravità risolta nel 2026. La falla, scoperta dal ricercatore di sicurezza Shaheen Fazim, ha un punteggio CVSS pari a 8,8 ed è classificata come use-after-free. Questo tipo di vulnerabilità si verifica quando il browser tenta di accedere a una locazione di memoria già liberata o cancellata.

Secondo la cronologia dei commit del progetto Chromium, il bug risiede nel componente CSSFontFeatureValuesMap, che gestisce i valori dei caratteri avanzati. Utilizzando una pagina web con font speciali è possibile sfruttare la vulnerabilità ed eseguire codice infetto. L'aspetto rilevante è che non è necessaria l'interazione dell'utente: il caricamento in memoria del codice avviene quando si apre la pagina web.

La patch è stata rilasciata per le versioni stabili 145.0.7632.75/76 per Windows/macOS e 144.0.7559.75 per Linux. Google ha confermato l'esistenza di exploit attivi, dichiarando di essere consapevole che CVE-2026-2441 è utilizzato attivamente. L'azienda mantiene il riserbo sui dettagli tecnici, una strategia standard per vulnerabilità sfruttate in attacchi reali, allo scopo di proteggere gli utenti che non hanno ancora aggiornato i browser.

I messaggi di commit indicano che la correzione rilasciata affronta "il problema immediato", ma segnalano l'esistenza di "lavori rimanenti" tracciati nel bug 483936078. Questo suggerisce che la soluzione potrebbe essere temporanea o che esistono problematiche correlate ancora da risolvere. La procedura di cherry-pick, adottata da Google solo per le minacce più gravi, conferma l'urgenza dell'intervento.

CVE-2025-2783: attacchi mirati di gruppi APT

⬆ Torna su

Il 26 marzo 2025 Google ha rilasciato un aggiornamento per la vulnerabilità CVE-2025-2783, identificata come il primo zero-day di Chrome attivamente sfruttato dall'inizio dell'anno. La falla riguarda Mojo, una raccolta di librerie di runtime che fornisce un meccanismo indipendente dalla piattaforma per la comunicazione tra processi (IPC).

L'attacco è stato sferrato attraverso e-mail di phishing che hanno preso di mira organi di stampa, istituti scolastici e organizzazioni governative in Russia. I ricercatori di Kaspersky Boris Larin e Igor Kuznetsov hanno scoperto e segnalato la falla il 20 marzo 2025. Kaspersky ha caratterizzato lo sfruttamento come un attacco mirato tecnicamente sofisticato, indicativo di una minaccia persistente avanzata (APT), monitorando l'attività con il nome di Operation ForumTroll.

Tutti gli artefatti di attacco analizzati indicano un'elevata sofisticatezza degli aggressori, consentendo ai ricercatori di concludere che dietro l'attacco c'è un gruppo APT sponsorizzato da uno stato. L'infezione si è verificata immediatamente dopo che le vittime hanno cliccato su un link in un'e-mail di phishing. Non è stata richiesta alcuna ulteriore azione per essere infettati. L'essenza della vulnerabilità è dovuta a un errore logico all'intersezione tra Chrome e il sistema operativo Windows, che consente di aggirare la protezione sandbox del browser.

I link di breve durata sono stati personalizzati per i bersagli, con lo spionaggio come obiettivo finale della campagna. Le email dannose contenevano inviti presumibilmente provenienti dagli organizzatori di un legittimo forum scientifico ed esperto, Primakov Readings. La correzione è stata inserita in Chrome versione 134.0.6998.177/.178 per Windows.

CVE-2025-13223: type confusion nel motore V8

⬆ Torna su

A metà novembre 2025 Google ha rilasciato una comunicazione di sicurezza riguardante CVE-2025-13223, una vulnerabilità type confusion presente nel motore JavaScript e WebAssembly V8 di Chrome. Questa classe di vulnerabilità si verifica quando il motore JavaScript gestisce in modo errato i tipi di dati, trattando un oggetto come fosse di una classe diversa, portando a comportamenti imprevisti nella gestione della memoria.

Il bug è stato scoperto e riportato da Clément Lecigne del team Threat Analysis Group (TAG) di Google il 12 novembre 2025. La vulnerabilità consente di corrompere l'heap e di eseguire codice arbitrario con i permessi dell'utente. Gli esperti sottolineano che non sono stati resi noti i dettagli tecnici per non agevolare ulteriormente i cybercriminali, ma la minaccia è confermata e documentata come attiva su scala globale.

Tramite una pagina HTML malevola, l'attaccante crea una situazione in cui l'errore viene indotto nel motore V8, generando una corruzione dell'heap che può essere sfruttata per ottenere l'esecuzione di codice arbitrario. Le versioni compromesse sono tutte quelle precedenti alla 142.0.7444.175 su Windows e macOS. La falla riguarda anche altri browser basati su Chromium come Edge, Brave, Opera e Vivaldi.

Il motore V8 è estremamente complesso perché ottimizza in tempo reale l'esecuzione del codice JavaScript per offrire velocità e prestazioni. Ogni ottimizzazione aggiunge potenziali superfici d'attacco e rischi di errori nella gestione dei tipi di oggetti o delle operazioni in memoria. Queste vulnerabilità vengono tipicamente sfruttate in campagne di spear-phishing o attraverso la compromissione di siti legittimi.

CVE-2025-14174: la componente ANGLE e l'intervento di CISA

⬆ Torna su

La vulnerabilità CVE-2025-14174 riguarda ANGLE (Almost Native Graphics Layer Engine), una libreria che funge da interprete tra le applicazioni web e le API grafiche sottostanti. Molte applicazioni web, giochi nel browser, mappe 3D e interfacce moderne usano comandi grafici in standard come OpenGL ES, e ANGLE li traduce in istruzioni che il sistema operativo comprende.

La falla riguarda un errore di calcolo nella gestione della memoria durante l'elaborazione di determinate immagini, con un possibile accesso out-of-bounds. Questo è uno dei classici incidenti di memoria: il programma pensa di avere spazio per un certo numero di dati, ma finisce per scrivere oltre, corrompendo aree che non dovrebbe toccare. Nel migliore dei casi il browser va in crash, nel peggiore un aggressore può ottenere un comportamento controllato fino a far eseguire istruzioni arbitrarie.

Un elemento rilevante è l'attenzione di CISA (Cybersecurity and Infrastructure Security Agency), che ha incluso la falla nel catalogo delle minacce note e ha imposto alle agenzie federali americane una finestra di aggiornamento entro il 2 gennaio 2026. L'intervento istituzionale segnala un rischio concreto e un'urgenza operativa, considerando che i browser sono infrastruttura critica trasversale: un exploit nel browser può diventare un canale per compromissioni più ampie.

Le patch correttive sono disponibili nelle versioni 143.0.7499.109/.110 su Windows e macOS, e 143.0.7499.109 su Linux. Durante il 2025 questa è stata l'ottava zero-day corretta in Chrome, segnalando che il browser è un bersaglio ad altissimo valore perché rappresenta la porta d'accesso a e-mail, documenti, identità digitali e pagamenti.

Attacchi nordcoreani: CVE-2024-7971 e CVE-2024-7965

⬆ Torna su

Nelle scorse settimane del 2024, il team di sicurezza di Chromium con la collaborazione di Microsoft ha risolto due vulnerabilità critiche, identificate come CVE-2024-7971 e CVE-2024-7965, sfruttate da un gruppo di hacker collegato alla Corea del Nord. Il gruppo, conosciuto come "Citrine Street", prendeva di mira organizzazioni per rubare criptovalute.

CVE-2024-7971 è stata la prima vulnerabilità zero-day presente in Chromium individuata da Microsoft il 19 agosto 2024. Il colosso di Redmond ha scoperto che la vulnerabilità veniva utilizzata per prendere di mira istituzioni finanziarie legate al mondo delle criptovalute, utilizzando tecniche di ingegneria sociale. L'attore della minaccia crea falsi siti Web mascherati da legittime piattaforme di trading e li usa per distribuire false domande di lavoro o per indurre i bersagli a scaricare un portafoglio di criptovalute armato.

Citrine Sleet infetta i bersagli con il malware trojan AppleJeus, che raccoglie le informazioni necessarie per prendere il controllo delle risorse di criptovaluta. L'attacco è stato perpetrato sfruttando anche una vulnerabilità nel kernel di Windows per installare malware con accesso profondo al sistema operativo. La seconda vulnerabilità, CVE-2024-7965, è stata segnalata il 30 luglio 2024 da un ricercatore conosciuto come "TheDog".

Entrambe le vulnerabilità sono incluse nel Known Exploited Vulnerabilities Catalog del CISA e sono risolte con la versione 128.0.6613.84 di Google Chrome e 128.0.2739.42 di Microsoft Edge.

CVE-2024-4671: use-after-free nel componente Visuals

⬆ Torna su

Google ha rilasciato un aggiornamento per correggere CVE-2024-4671, segnata come la quinta zero-day sfruttata attivamente dagli attaccanti dall'inizio del 2024. La vulnerabilità, scoperta e segnalata da un ricercatore anonimo, rientra nella categoria use-after-free e riguarda il componente Visuals di Chrome, responsabile della renderizzazione e visualizzazione dei contenuti delle pagine Web.

Secondo il CSIRT Italia, l'impatto della vulnerabilità è grave/rosso con un punteggio di 77,94 su 100. Le vulnerabilità use-after-free emergono quando un programma continua a utilizzare un puntatore a memoria dopo che quest'ultima è stata liberata. Questo può portare a perdita di dati, esecuzione di codice arbitrario o crash del sistema.

Le correzioni sono disponibili nelle versioni 124.0.6367.201/.202 per Mac e Windows e 124.0.6367.201 per Linux. Per gli utenti del canale Extended Stable, le correzioni sono disponibili nella versione 124.0.6367.201 per Mac e Windows.

Il contesto delle competizioni di hacking e Pwn2Own

⬆ Torna su

Competizioni come Pwn2Own Vancouver 2024 offrono un'anteprima delle aree che attirano i ricercatori e, di riflesso, dove potrebbero concentrarsi anche gruppi criminali. Per Chrome, in quell'edizione sono emerse due zero-day dimostrate pubblicamente. Tra i casi citati figura CVE-2024-2886, un use-after-free nell'API WebCodecs usata dalle web app per codificare e decodificare audio e video. Un altro caso è CVE-2024-2887, legato a WebAssembly e a una confusione di tipo.

WebAssembly è pensato per far girare codice ad alte prestazioni nel browser, ma proprio perché spinge verso prestazioni quasi native, aumenta l'importanza della correttezza dei controlli. Anche Mozilla Firefox ha visto dimostrate due zero-day durante l'evento, con Mozilla che ha reagito con rilasci rapidi come Firefox 124.0.1 e Firefox ESR 115.9.1. L'intero ecosistema dei browser è un campo di battaglia continuo con classi di bug simili.

Strategia di divulgazione e programma bug bounty

⬆ Torna su

Google mantiene riserbo sui dettagli degli exploit e sugli attori coinvolti quando le vulnerabilità sono sfruttate attivamente. La politica di divulgazione limitata serve a proteggere gli utenti che non hanno ancora aggiornato i browser, impedendo ai criminali informatici di ottenere informazioni tecniche che potrebbero facilitare ulteriori attacchi. L'accesso ai dettagli del bug e ai link correlati rimane ristretto finché la maggioranza degli utenti non ha installato la correzione.

Il programma di bug bounty di Google ricompensa i ricercatori che segnalano vulnerabilità in modo responsabile. In occasione di alcuni aggiornamenti, oltre alle falle principali, sono state risolte vulnerabilità di gravità media scoperte via bug bounty, con ricompense di 2.000 dollari ciascuna. I premi per bug critici possono essere molto più elevati.

Procedure di aggiornamento e raccomandazioni operative

⬆ Torna su

Chrome è configurato per controllare automaticamente gli aggiornamenti e installarli al riavvio successivo. Per verificare immediatamente la disponibilità dell'aggiornamento, è sufficiente avviare Chrome, cliccare sul pulsante con i tre puntini in alto a destra per accedere al menu Personalizza e controlla Google Chrome e spostarsi nella sezione Guida/Informazioni su Google Chrome. Terminato il download, cliccando su Riavvia si applica la patch.

In molte installazioni l'aggiornamento automatico si completa solo dopo un riavvio del browser. Lasciare decine di schede aperte per giorni allunga la finestra di esposizione. Per le aziende, le versioni correttive citate nei bollettini sono fondamentali per la compliance: permettono di verificare rapidamente se la flotta è allineata. Molte policy moderne separano la compatibilità dalla sicurezza: si testano rapidamente i rilasci, si crea un gruppo pilota, si automatizza il roll-out, si fissano scadenze non negoziabili per le patch critiche.

Il browser è un concentratore di sessioni: se un utente è loggato su posta, gestionale, cloud e banca, un attacco riuscito non colpisce solo un'applicazione, ma l'intero perimetro digitale. Quando un componente grafico diventa sfruttabile, la posta in gioco non è la grafica, ma l'identità dell'utente.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

⬆ Torna su

La concentrazione di vulnerabilità in componenti distinti del browser suggerisce una superficie d'attacco ampia e difficilmente comprimibile. L'implicazione principale riguarda l'adozione diffusa di Chromium come base per molteplici browser, che amplifica il raggio d'azione di ogni singola falla corretta.

  • Scenario 1: gli attacchi mirati a giornisti, istituzioni e organizzazioni governative potrebbero intensificarsi, sfruttando vettori low-interaction come le pagine web malevole già documentate.
  • Scenario 2: l'intervento di CISA potrebbe estendersi ad altre vulnerabilità critiche, rendendo obbligatori aggiornamenti tempestivi per infrastrutture essenziali.
  • Scenario 3: i browser derivati da Chromium potrebbero registrare ritardi nell'applicazione delle patch, creando finestre di esposizione prolungate per gli utenti.

Cosa monitorare

⬆ Torna su
  • Tempi di rilascio delle patch sui browser Chromium-based rispetto a Chrome.
  • Nuove segnalazioni di gruppi APT attivi su vettori browser-based.
  • Comunicazioni di CISA e aggiornamenti al catalogo delle minacce note.

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.

Fonti

⬆ Torna su

In breve

  • chrome
  • Google
  • CISA
  • Kaspersky

Link utili

Apri l'articolo su DeafNews