Chrome 146: 29 vulnerabilità critiche risolte

Proteggiti subito: aggiorna Chrome 146

Google ha ufficialmente distribuito un aggiornamento essenziale per il suo browser Chrome, promuovendo la versione 146 al canale stabile per gli utenti Windows, Mac e Linux. Se utilizzi Chrome, devi aggiornare immediatamente alla versione 146.0.7680.71 per Linux e 146.0.7680.71/72 per Windows e Mac.

Questa non è una semplice manutenzione di routine. L’aggiornamento rilasciato il 10 marzo 2026 affronta 29 vulnerabilità di sicurezza, alcune delle quali potrebbero permettere a malintenzionati di eseguire codice arbitrario e compromettere completamente il tuo sistema. La soluzione è semplice: apri Chrome, vai su Aiuto > Informazioni su Google Chrome e lascia che il browser scarichi automaticamente la nuova versione, quindi riavvia.

Perché questo aggiornamento è così importante

Molte delle falle scoperte coinvolgono problemi di corruzione della memoria profondamente radicati che, se non corretti, potrebbero consentire ad attaccanti remoti di eseguire codice arbitrario. Questi non sono bug minori: rappresentano minacce reali e significative per la sicurezza dei tuoi dati personali, delle tue credenziali di accesso e delle tue informazioni sensibili.

La vulnerabilità più grave affrontata in questo ciclo è CVE-2026-3913, un overflow critico del buffer heap nel componente WebML. Scoperta dal ricercatore di sicurezza Tobias Wienand, questa falla estremamente pericolosa ha meritato una ricompensa di 33.000 dollari. Gli overflow del buffer heap sono particolarmente allarmanti perché possono essere sfruttati per far crashare il browser o facilitare l’esecuzione non autorizzata di codice remoto (RCE).

I passaggi per aggiornare Chrome in pochi minuti

Aggiornare Chrome è incredibilmente semplice e richiede meno di un minuto:

Apri Google Chrome e fai clic sul menu a tre punti nell’angolo in alto a destra
Seleziona “Aiuto” e poi “Informazioni su Google Chrome”
Il browser scaricherà automaticamente la versione 146.0.7680.71 o 146.0.7680.72
Riavvia il browser per applicare completamente le patch di sicurezza
Assicurati di mantenere gli aggiornamenti automatici abilitati per garantire che le future correzioni di sicurezza vengano applicate senza ritardi

Dopo il riavvio, sarai protetto da tutte le 29 vulnerabilità risolte in questo aggiornamento.

Quali minacce specifiche vengono neutralizzate

Oltre al critico CVE-2026-3913, l’aggiornamento risolve 11 vulnerabilità di alta gravità. Molte di queste sono errori “Use after free” (UAF) e di accesso fuori dai limiti della memoria che interessano vari componenti del browser, inclusi Web Speech, Agents, Extensions, TextEncoding e MediaStream.

Gli attori malintenzionati prendono di mira frequentemente le falle UAF perché permettono agli attaccanti di manipolare i puntatori di memoria e inserire payload dannosi. L’aggiornamento mitiga anche 17 bug di gravità media e bassa in aree come il motore JavaScript V8, il visualizzatore PDF e gli strumenti per sviluppatori.

Queste correzioni coprono un’ampia gamma di componenti browser critici, garantendo una protezione completa contro vettori di attacco diversificati.

Cosa cambia per gli utenti normali

Per la maggior parte degli utenti, questo aggiornamento è completamente trasparente. Una volta riavviato il browser, continuerai a navigare normalmente senza alcuna differenza visibile. Tuttavia, dietro le quinte, il tuo browser sarà significativamente più sicuro.

Non perderai alcuna funzionalità o personalizzazione. I tuoi segnalibri, le tue password salvate e le tue estensioni continueranno a funzionare esattamente come prima. L’unica differenza è che sarai protetto da minacce di sicurezza potenzialmente devastanti.

Il calendario futuro degli aggiornamenti di Chrome

A partire da settembre 2026, Chrome riceverà aggiornamenti molto più frequenti. Le nuove versioni verranno rilasciate ogni due settimane invece che ogni quattro, come avviene attualmente. Questo nuovo calendario entrerà in vigore con il rilascio della versione stabile Chrome 153, previsto per l’8 settembre 2026. Da quel momento, una nuova versione stabile e una beta verranno pubblicate ogni due settimane su tutte le piattaforme: desktop, Android e iOS.

Questa decisione rappresenta una svolta importante nel ciclo di sviluppo del browser e ha un obiettivo preciso: ridurre il cosiddetto “patch gap”, cioè il tempo che intercorre tra la scoperta di un problema di sicurezza e la distribuzione della relativa correzione. Una frequenza maggiore degli aggiornamenti consentirà agli utenti e agli sviluppatori di avere accesso più rapido a miglioramenti delle prestazioni, nuove funzionalità e correzioni di bug.

La struttura dei canali di sviluppo Dev e Canary continuerà a funzionare con le stesse modalità attuali, e il ciclo della versione Extended Stable, pensata soprattutto per aziende e ambienti più complessi, continuerà a ricevere aggiornamenti ogni otto settimane come accade dal 2021.

Technical Deep Dive

Per gli utenti più esperti e i professionisti della sicurezza, questa sezione fornisce dettagli tecnici sulle vulnerabilità risolte e sulle loro implicazioni.

Analisi delle vulnerabilità critiche e ad alta gravità

CVE-2026-3913 rappresenta il vettore di attacco più grave in questo rilascio. Un heap buffer overflow nel componente WebML consente a un attaccante remoto autenticato di eseguire codice arbitrario tramite una pagina web appositamente costruita. L’overflow del buffer heap è particolarmente critico perché può essere sfruttato per sovrascrivere metadati critici, controllare il flusso di esecuzione e ottenere privilegi arbitrari nel contesto del processo Chrome.

CVE-2026-3914 e CVE-2026-3915 affrontano rispettivamente un integer overflow e un ulteriore heap buffer overflow nel componente WebML, suggerendo una classe sistematica di vulnerabilità nella gestione della memoria di questo componente.

Le vulnerabilità di tipo “Use after free” (CVE-2026-3917, CVE-2026-3918, CVE-2026-3919, CVE-2026-3921, CVE-2026-3922, CVE-2026-3923, CVE-2026-3924, CVE-2026-3936) rappresentano una categoria di falle critiche che si verificano quando il codice accede a memoria che è stata precedentemente liberata. In Chrome, queste falle si distribuiscono su componenti cruciali come Agents, WebMCP, Extensions, TextEncoding, MediaStream, WebMIDI e WebView. Gli attaccanti possono sfruttare queste condizioni per corrompere lo stato del heap e ottenere l’esecuzione di codice arbitrario.

CVE-2026-3916 e CVE-2026-3920 rappresentano vulnerabilità di lettura fuori dai limiti (out-of-bounds read) in Web Speech e WebML rispettivamente. Sebbene meno gravi dei buffer overflow, queste falle possono comunque essere sfruttate per leggere dati sensibili dalla memoria del processo.

Vulnerabilità di gravità media e bassa

Le vulnerabilità di gravità media includono problemi di applicazione insufficiente delle policy in estensioni, PDF e ChromeDriver (CVE-2026-3928, CVE-2026-3932, CVE-2026-3934), nonché problemi di UI di sicurezza scorretta in LookalikeChecks, PictureInPicture e WebAppInstalls (CVE-2026-3925, CVE-2026-3927, CVE-2026-3935).

CVE-2026-3929 affronta una perdita di informazioni tramite side-channel in ResourceTiming, un componente che espone dati di timing sulle risorse caricate. Sebbene non consenta l’esecuzione di codice diretto, può essere sfruttato per inferire informazioni sensibili su risorse caricate dall’utente.

CVE-2026-3931 è un heap buffer overflow nel motore di rendering Skia, che potrebbe essere sfruttato per corrompere la memoria durante l’elaborazione di grafica vettoriale complessa.

Le vulnerabilità di bassa gravità (CVE-2026-3937, CVE-2026-3938, CVE-2026-3939, CVE-2026-3940, CVE-2026-3941, CVE-2026-3942) riguardano principalmente problemi di UI di sicurezza scorretta e applicazione insufficiente delle policy in aree come Download, Clipboard, PDF e DevTools.

Implicazioni per la sicurezza del sistema

Collettivamente, queste vulnerabilità rappresentano una minaccia significativa per la riservatezza, l’integrità e la disponibilità dei sistemi che eseguono Chrome. Gli attacchi che sfruttano queste falle potrebbero consentire agli attaccanti di: