Aggiorna Chrome immediatamente: due vulnerabilità zero-day sfruttate in attacchi attivi

Aggiorna Chrome immediatamente: due vulnerabilità zero-day sfruttate in attacchi attivi

Aggiorna Chrome immediatamente: due vulnerabilità zero-day sfruttate in attacchi attivi

Azione rapida richiesta

Se utilizzi Google Chrome, è fondamentale aggiornare il tuo browser il prima possibile. Google ha rilasciato patch d’emergenza per due gravi vulnerabilità zero-day che sono già state sfruttate da attaccanti reali. Le zero-day sono falle di sicurezza scoperte e utilizzate prima che il sviluppatore rilasci una correzione ufficiale, rendendole particolarmente pericolose.

Questi ultimi bug di Chrome rappresentano il secondo e il terzo zero-day affrontati nel 2026—Google ha già corretto il primo a febbraio. La buona notizia è che le patch sono disponibili ora e l’aggiornamento è semplice.

Cosa devi fare subito

Versioni di Chrome da installare:

  • Windows e macOS: versione 146.0.7680.75/76
  • Linux: versione 146.0.7680.75

Google ha rilasciato l’aggiornamento del Canale Stabile il 12 marzo, ma il rollout potrebbe richiedere diversi giorni o settimane per raggiungere tutti gli utenti. Non aspettare: installa l’aggiornamento non appena lo vedi disponibile.

Come verificare e installare:

  1. Apri il menu di Chrome (tre punti in alto a destra)
  2. Seleziona “Informazioni su Google Chrome”
  3. Chrome verificherà automaticamente gli aggiornamenti disponibili
  4. Se un aggiornamento è disponibile, vedrai un’opzione per riavviare il browser
  5. Riavvia Chrome per completare l’installazione

Alternativa: se chiudi e riavvii regolarmente il browser, l’aggiornamento si applicherà automaticamente alla prossima sessione.

Le vulnerabilità spiegate in termini semplici

CVE-2026-3910: il bug del motore JavaScript

La vulnerabilità principale affrontata in questo aggiornamento è CVE-2026-3910, un’implementazione errata in V8, il motore JavaScript e WebAssembly di Google. Semplicemente, V8 è il componente di Chrome che esegue il codice JavaScript quando visiti siti web.

Un attaccante potrebbe creare una pagina web malevola che, quando la visiti, sfrutta questo bug per eseguire codice arbitrario all’interno della sandbox del browser. Non devi fare niente di particolare—basta visitare il sito per essere potenzialmente compromesso.

CVE-2026-3909: il bug della libreria grafica

La seconda vulnerabilità, CVE-2026-3909, è un’anomalia di scrittura fuori limite nella libreria grafica Skia, che Chrome utilizza per renderizzare il contenuto web e gli elementi dell’interfaccia utente. Quando sfruttato, un attaccante potrebbe far crashare Chrome o eseguire codice da remoto.

Google ha inizialmente pianificato di correggere entrambi i bug in questo aggiornamento, ma la correzione per CVE-2026-3909 è stata posticipata a un futuro aggiornamento.

Perché questi bug sono pericolosi

Complessità d’attacco bassa: entrambi i bug possono essere sfruttati semplicemente visitando un sito web malevolo. Non è necessario fare clic su link particolari o scaricare file.

Già in uso: Google ha confermato che exploit per entrambe le vulnerabilità esistono già in natura, il che significa che gli attaccanti li stanno utilizzando attivamente.

Accesso privilegiato: sebbene Chrome abbia una “sandbox” che limita ciò che il codice malevolo può fare, una vulnerabilità in componenti critici come V8 o Skia potrebbe potenzialmente essere concatenata con altri bug per sfuggire alla sandbox e compromettere l’intero sistema.

Contesto più ampio: il 2026 è stato un anno impegnativo per Chrome

Questi non sono i primi zero-day di Chrome nel 2026. A febbraio, Google ha corretto CVE-2026-2441, una vulnerabilità use-after-free nel motore CSS di Chrome. Questa era una falla di memoria che permetteva a pagine web appositamente costruite di eseguire codice arbitrario all’interno della sandbox del browser. Anche questo era già stato sfruttato dagli attaccanti.

Con queste tre vulnerabilità critiche già sfruttate nel 2026, è evidente che Chrome rimane un bersaglio privilegiato per i criminali informatici.

Cosa significa “sandbox” e perché è importante

La sandbox di Chrome è come una “scatola sicura” attorno a ogni scheda del browser. Se qualcosa dentro la scheda diventa malevolo, dovrebbe rimanere confinato e non essere in grado di danneggiare il resto del tuo sistema. Limita ciò che il codice del sito web può toccare in termini di file, dispositivi e altre applicazioni.

Idealmente, un bug del browser dovrebbe dare a un attaccante solo un punto d’appoggio in quell’ambiente ristretto, non il controllo completo della macchina. Tuttavia, i ricercatori di sicurezza sanno che è possibile concatenare più bug per sfuggire dalla sandbox.

Raccomandazioni di sicurezza generale

Oltre ad aggiornare Chrome:

  • Mantieni il tuo sistema operativo aggiornato: Windows, macOS e Linux rilasciano regolarmente patch di sicurezza
  • Usa un gestore di password: questo aiuta a garantire che le tue credenziali non siano compromesse da malware basato su browser
  • Considera estensioni di sicurezza: blocchi di annunci e tracker possono ridurre la superficie di attacco
  • Abilita l’autenticazione a due fattori: sui tuoi account importanti, in modo che anche se le credenziali vengono rubate, l’accesso rimanga protetto

Technical Deep Dive

Per gli utenti tecnicamente esperti, ecco ulteriori dettagli su queste vulnerabilità:

Anatomia di CVE-2026-3910

CVE-2026-3910 è un’implementazione inappropriata in V8, il motore JavaScript e WebAssembly di Chrome. V8 è il componente critico che interpreta ed esegue il codice JavaScript, rendendolo un bersaglio di alto valore per gli attaccanti.

Le vulnerabilità in V8 sono particolarmente preziose perché:

  • Sono facilmente attivabili da qualsiasi sito web
  • Spesso portano direttamente all’esecuzione di codice arbitrario
  • Sono frequentemente utilizzate in catene di exploit da attori di minacce mirate e fornitori di spyware
  • Possono potenzialmente essere concatenate con bug di sandbox escape

Anatomia di CVE-2026-3909

CVE-2026-3909 è un’anomalia di scrittura fuori limite (out-of-bounds write) in Skia, la libreria grafica open source 2D utilizzata da Chrome per renderizzare il contenuto web e gli elementi dell’interfaccia utente.

Skia è utilizzato non solo in Google Chrome ma anche in molti altri prodotti, il che significa che questa vulnerabilità potrebbe potenzialmente avere un impatto più ampio dell’ecosistema di Chrome.

Le anomalie di corruzione della memoria come questa possono essere sfruttate per:

  • Far crashare le applicazioni
  • Eseguire codice arbitrario se sfruttate con successo
  • Corrompere lo stato del programma in modo da eseguire operazioni non autorizzate

Componenti critici nel mirino

I componenti Skia e V8 di Chrome sono bersagli primari perché si trovano direttamente nel percorso tra il contenuto web non attendibile e il sistema sottostante. Qualsiasi falla in questi componenti rappresenta un rischio significativo.

Timeline di scoperta e patch

Secondo i rapporti ufficiali di Google:

  • 10 marzo 2026: Google scopre e segnala entrambe le vulnerabilità internamente
  • 12 marzo 2026: Google rilascia patch nel Canale Stabile
  • 13 marzo 2026: Google conferma che exploit per entrambi i bug esistono già in natura

Questa timeline rapida—circa due giorni tra la scoperta e il rilascio della patch—riflette il processo di risposta alle emergenze di Google per le vulnerabilità zero-day critiche.

Implicazioni per la sicurezza informatica

Queste vulnerabilità evidenziano l’importanza continua di:

  • Patching tempestivo: i sistemi devono essere aggiornati il prima possibile dopo il rilascio delle patch
  • Monitoraggio delle minacce: le organizzazioni devono tracciare le vulnerabilità zero-day attive e assumere una postura difensiva
  • Segmentazione della rete: limitare l’accesso a Internet da zone critiche può ridurre il rischio di compromissione tramite browser
  • Isolamento del browser: alcune organizzazioni utilizzano browser isolati o virtualizzati per accedere a siti web non attendibili

Programma di premi per le vulnerabilità di Google

Google ha rivelato di aver pagato 17 milioni di dollari a 747 ricercatori di sicurezza attraverso il suo Vulnerability Reward Program nel 2025. Questo evidenzia l’impegno dell’azienda nel coinvolgere la comunità di sicurezza per identificare e correggere i bug prima che vengano sfruttati.

Fonte: https://lifehacker.com/tech/update-chrome-immediately-to-fix-this-zero-day-exploit?utm_medium=RSS

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto