La sicurezza del browser Google Chrome è stata recentemente messa a dura prova dalla scoperta di diverse vulnerabilità ad alta gravità, tra cui una zero-day già sfruttata attivamente da attaccanti. Questi problemi interessano la maggior parte degli utenti e possono aprire la strada ad attacchi che compromettono sia la privacy sia l’integrità dei sistemi. Aggiorna subito Chrome, limita le estensioni installate, evita siti sospetti e mantieni una buona igiene digitale sono tra le azioni più consigliate per mitigare i rischi.
Cosa è successo: nuove vulnerabilità critiche
A metà settembre 2025, Google ha rilasciato aggiornamenti di sicurezza per il browser Chrome, affrontando quattro nuove vulnerabilità, tra cui una zero-day identificata come CVE-2025-10585. Questa falla, una type confusion nel motore V8 che gestisce JavaScript e WebAssembly, è stata già utilizzata per attacchi reali contro utenti. Un type confusion avviene quando il software interpreta in modo errato la memoria, consentendo ad attaccanti di eseguire codice maligno, corrompere dati o causare il crash dell’applicazione.
L’avviso è stato diffuso in tempi rapidi sia da Google, sia da enti di sicurezza come la CISA statunitense, che ha inserito il problema nel catalogo delle vulnerabilità maggiormente sfruttate (“Known Exploited Vulnerabilities – KEV”). Questo significa che il rischio non è solo teorico, ma concretamente in atto.
Dettagli sulle vulnerabilità scoperte
Oltre alla già citata zero-day (CVE-2025-10585), Google ha corretto altri tre difetti ad alta gravità:
- CVE-2025-10500: uso dopo la liberazione della memoria (“use-after-free”) in Dawn, l’implementazione Chrome del WebGPU.
- CVE-2025-10501: uso dopo la liberazione della memoria in WebRTC (comunicazione peer-to-peer).
- CVE-2025-10502: overflow del buffer heap in ANGLE, backend di WebGL usato da Chrome su Windows.
Queste vulnerabilità permettono potenzialmente di eseguire codice arbitrario sull’host della vittima, fornendo agli attaccanti la possibilità di installare malware, rubare dati, spiare comunicazioni o prendere il controllo del device.
Chi è a rischio
Le versioni di Chrome affette sono tutte quelle precedenti alla 140.0.7339.185 (o 140.0.7339.186 su Mac), e versioni Linux antecedenti alla 140.0.7339.185. Il problema interessa non solo Chrome ma anche i browser derivati da Chromium, come Microsoft Edge (che ha rilasciato un aggiornamento specifico).
Chi non aggiorna il browser rischia di diventare vittima di attacchi “zero-click”, cioè attacchi che non richiedono alcuna azione da parte dell’utente: semplicemente navigando una pagina malevola il codice dannoso può essere eseguito automaticamente.
Impatti concreti degli exploit
Gli exploit che sfruttano queste vulnerabilità sono particolarmente insidiosi perché, una volta attivati, possono:
- Prendere il controllo completo del computer utente.
- Rubare credenziali, informazioni personali, dati bancari.
- Installare malware persistente, come ransomware o spyware.
- Intercettare conversazioni e file.
- Usare il device infetto come ponte per ulteriori attacchi nella rete locale.
La natura zero-day del bug principale (CVE-2025-10585) indica che gli attaccanti sono stati più rapidi dei difensori, riuscendo a utilizzare il difetto prima che fosse pubblicamente conosciuto e corretto.
Chi ha scoperto e come si è diffusa la notizia
La vulnerabilità zero-day è stata identificata dal Google Threat Analysis Group (TAG) durante indagini su attività sospette di attori statali e venditori di spyware commerciale. La notizia della scoperta e della sua attiva exploizione ha portato una rapida diffusione degli avvisi da parte di enti di sicurezza internazionali e l’inserimento nella lista delle minacce più critiche attualmente in circolazione.
Cosa devi fare subito
Per ridurre il rischio di subire un attacco, tutti gli utenti devono:
- Aggiornare immediatamente Google Chrome alla versione più recente disponibile, preferibilmente 140.0.7339.185 o superiore per Windows/Mac e Linux.
- Chi usa Microsoft Edge deve installare l’aggiornamento alla versione 140.0.3485.81.
- Riavviare il browser dopo l’aggiornamento per applicare le correzioni.
- Valutare la disinstallazione delle estensioni non strettamente necessarie.
- Evitare la navigazione su siti sconosciuti o sospetti finché non si è certi di avere applicato gli aggiornamenti.
Se lavori in azienda o gestisci sistemi di più utenti, pianifica l’aggiornamento in modo centralizzato e monitora costantemente lo stato delle patch applicate.
Scenario internazionale e risposta delle aziende
In risposta alla gravità degli exploit, aziende come Qualys hanno messo a disposizione strumenti per verificare i dispositivi vulnerabili (tramite QIDs dedicati), mentre molte piattaforme di gestione della sicurezza facilitano il patching centralizzato, rendendo più agevole l’applicazione automatica degli aggiornamenti (“Zero-Touch Patching”).
Microsoft, da parte sua, ha esteso la correzione anche a Windows via Edge, mentre la comunità Linux ha aggiornato rapidamente i pacchetti software relativi a Chromium.
Organismi pubblici e di ricerca stanno monitorando eventuali ulteriori diffusioni degli exploit e assicurano che la risposta globale sia rapida e coordinata.
I meccanismi tecnici dell’exploit
Le vulnerabilità appena corrette sfruttano debolezze tipiche dei software scritti in C/C++, dove il controllo sulla memoria non è automatico: errori come “use-after-free” indicano che la memoria viene riutilizzata dopo essere stata liberata, permettendo a un attaccante di manipolare il contenuto ed eseguire codice malevolo.
Il “type confusion”, invece, nasce dal fatto che una variabile può essere interpretata come un tipo diverso da quello previsto, aprendo la strada alla corruzione della memoria e ad azioni non autorizzate.
Questi tipi di bug rimangono i più comuni e pericolosi per le piattaforme complesse come i browser moderni, continuamente sotto attacco da parte di hacker e gruppi criminali organizzati.
Riassunto iniziale e consigli-azione per tutti gli utenti
In breve: Google Chrome ha subito la scoperta di gravi vulnerabilità, compresa una zero-day già sfruttata. Aggiorna subito il browser, limita le estensioni installate, evita siti sospetti e mantieni una buona igiene digitale per ridurre i rischi.
Raccomandazioni avanzate per la sicurezza
Per una protezione più approfondita:
- Attiva le funzionalità di isolamento delle schede (Site Isolation) dalle impostazioni di Chrome, riducendo la superficie di attacco.
- Utilizza strumenti di sicurezza endpoint che monitorano comportamento anomalo, anche dopo l’applicazione delle patch.
- Configura backup automatici e sicuri dei dati più importanti per prevenire ancora meglio i danni da attacchi malware.
- Implementa criteri di aggiornamento centralizzato in ambienti aziendali, garantendo che tutte le versioni siano costantemente monitorate e protette.
- Rimani informato tramite gli avvisi delle principali autorità come CISA, CERT e produttori del browser.
- Valuta una formazione periodica per il personale sulla gestione delle minacce informatiche legate al browser e alla navigazione.
La rapidità nell’aggiornare il browser e la costante sorveglianza sulle minacce emergenti sono le migliori armi contro il rischio di attacchi informatici sempre più sofisticati.
