Google Chrome 149: patch d’emergenza per 18 vulnerabilità di sicurezza, incluse critiche falle WebGL e Autofill
Google ha appena rilasciato un aggiornamento di sicurezza urgente per il browser Chrome, correggendo 18 vulnerabilità, tra cui 4 classificate come critiche. Se utilizzi Chrome su Windows, macOS o Linux, la soluzione più rapida e sicura è installare immediatamente l’aggiornamento 149.0.7827.196 per proteggere i tuoi dati personali e prevenire potenziali attacchi informatici. Non aspettare: il rischio di sfruttamento attivo è già presente.
L’annuncio ufficiale è stato pubblicato il 23 giugno 2026, e l’aggiornamento sarà distribuito gradualmente nei prossimi giorni e settimane. Tuttavia, gli esperti di sicurezza raccomandano agli utenti di applicare le patch immediatamente a causa del rischio elevato di exploit. Le vulnerabilità corrette includono gravi errori di gestione della memoria nei componenti WebGL (grafica) e Autofill (dati sensibili), che potrebbero permettere a hacker di eseguire codice arbitrario sul tuo dispositivo o accedere a informazioni private come indirizzi e dettagli di pagamento.
Perché è fondamentale aggiornare Chrome subito
Molti utenti potrebbero pensare che un aggiornamento di sicurezza non sia urgente, ma in questo caso la situazione è diversa. Le vulnerabilità corrette sono di tipo use-after-free, una forma di corruzione della memoria che può essere sfruttata da siti malevoli per eseguire codice sul tuo computer senza che tu compia alcuna azione aggiuntiva. Basta visitare una pagina infetta per essere esposti al rischio.
In particolare, le CVE-2026-13028 e CVE-2026-13032 colpiscono WebGL, un’API grafica ampiamente utilizzata, rendendo questi errori particolarmente appetibili per exploit tramite contenuti web malevoli. La CVE-2026-13038, invece, colpisce Autofill, il componente che gestisce dati sensibili come indirizzi e dettagli di pagamento, aumentando significativamente l’impatto potenziale di un attacco riuscito.
Google ha anche corretto diverse vulnerabilità ad alto rischio che riguardano componenti fondamentali del browser, tra cui il motore di rendering Blink, l’elaborazione GPU, Web Authentication, FileSystem e DevTools. Molte di queste bug coinvolgono una gestione errata della memoria, come l’uso di memoria non inizializzata o una validazione insufficiente di input non fidati, che potrebbero causare crash, perdita di dati o esecuzione di codice.
Come verificare e installare l’aggiornamento
Per verificare se hai installato la versione corretta di Chrome, segui questi semplici passaggi:
- Clicca sul menu a tre punti in alto a destra del browser.
- Seleziona Impostazioni.
- Vai su Informazioni su Chrome.
- La pagina mostrerà automaticamente la versione corrente e, se necessario, inizierà l’aggiornamento.
- Una volta completato, riavvia il browser per rendere effettive le patch.
La versione aggiornata è 149.0.7827.196/197 per Windows e macOS, e 149.0.7827.196 per Linux. Assicurati che gli aggiornamenti automatici siano attivati per ricevere future patch in tempo reale.
List completo delle CVE corrette
| Codice CVE | Gravità | Tipo di Vulnerabilità |
|---|---|---|
| CVE-2026-13028 | Critica | Use-after-free |
| CVE-2026-13032 | Critica | Use-after-free |
| CVE-2026-13033 | Critica | Read fuori dai limiti |
| CVE-2026-13038 | Critica | Use-after-free |
| CVE-2026-13021 | Alta | Implementazione inappropriata |
| CVE-2026-13022 | Alta | Implementazione inappropriata |
| CVE-2026-13023 | Alta | Uso non inizializzato |
| CVE-2026-13024 | Alta | Validazione insufficiente di input non fidato |
| CVE-2026-13025 | Alta | Validazione insufficiente di input non fidato |
| CVE-2026-13026 | Alta | Use-after-free |
| CVE-2026-13027 | Alta | Use-after-free |
| CVE-2026-13029 | Alta | Use-after-free |
| CVE-2026-13030 | Alta | Uso non inizializzato |
| CVE-2026-13031 | Alta | Use-after-free |
| CVE-2026-13034 | Alta | Implementazione inappropriata |
| CVE-2026-13035 | Alta | Use-after-free |
| CVE-2026-13036 | Alta | Use-after-free |
| CVE-2026-13037 | Alta | Use-after-free |
Google ha confermato che l’accesso ai report dettagliati sui bug e alle informazioni sugli exploit di prova rimane limitato fino a quando la maggior parte degli utenti non avrà aggiornato il browser. Questa è una pratica standard per ridurre la probabilità di sfruttamento attivo.
Molte di queste vulnerabilità sono state identificati utilizzando strumenti avanzati di fuzzing e analisi della memoria, come AddressSanitizer, libFuzzer e AFL. Anche se non ci sono conferme pubbliche di sfruttamento attivo in natura, la presenza di multiple vulnerabilità critiche di corruzione della memoria aumenta significativamente il rischio.
Gli attaccanti tipicamente combinano queste vulnerabilità con tecniche di escape dal sandbox per ottenere il compromesso completo del sistema. Pertanto, sia le aziende che gli utenti individuali dovrebbero prioritizzare l’aggiornamento di Chrome alla versione più recente e garantire che gli aggiornamenti automatici siano attivati.
Technical Deep Dive
Per gli utenti tecnici e gli esperti di sicurezza, questo aggiornamento rappresenta una correzione critica di vulnerabilità di corruzione della memoria che potrebbero essere sfruttate per attacchi zero-day. Le vulnerabilità use-after-free corrette in WebGL e Autofill sono particolarmente preoccupanti perché permettono l’esecuzione di codice arbitrario con sola visita a una pagina malevola, senza necessità di ulteriori azioni dall’utente.
Le CVE-2026-13028 e CVE-2026-13032 colpiscono il componente WebGL, un’API grafica fondamentale per applicazioni web moderne. Questi errori di gestione della memoria possono essere sfruttati per eseguire codice malevolo nel contesto del browser, potenzialmente permettendo l’accesso a dati sensibili o il compromesso del sistema.
La CVE-2026-13038, invece, colpisce il componente Autofill, che gestisce dati sensibili come indirizzi e dettagli di pagamento. Questa vulnerabilità è particolarmente pericolosa perché un attacco riuscito potrebbe permettere l’accesso a informazioni finanziarie sensibili, aumentando significativamente l’impatto potenziale.
Le vulnerabilità ad alto rischio corrette riguardano componenti fondamentali del browser come il motore di rendering Blink, l’elaborazione GPU, Web Authentication, FileSystem e DevTools. Molte di queste bug coinvolgono una gestione errata della memoria, come l’uso di memoria non inizializzata o una validazione insufficiente di input non fidati, che potrebbero causare crash, perdita di dati o esecuzione di codice.
Google ha utilizzato strumenti avanzati di fuzzing e analisi della memoria per identificare molte di queste vulnerabilità, inclusi AddressSanitizer, libFuzzer e AFL. Questi strumenti sono fondamentali per la identificazione di vulnerabilità di corruzione della memoria che potrebbero essere sfruttate per attacchi zero-day.
Anche se non ci sono conferme pubbliche di sfruttamento attivo in natura, la presenza di multiple vulnerabilità critiche di corruzione della memoria aumenta significativamente il rischio. Gli attaccanti tipicamente combinano queste vulnerabilità con tecniche di escape dal sandbox per ottenere il compromesso completo del sistema.
Per gli esperti di sicurezza, è importante notare che molte di queste vulnerabilità sono state identificati internamente dai team di sicurezza di Google, piuttosto che da ricercatori esterni. Questo dimostra l’importanza di investimenti continui in sicurezza interna e di strumenti avanzati di analisi per la identificazione di vulnerabilità critiche.
In conclusione, questo aggiornamento rappresenta una correzione critica di vulnerabilità che potrebbero essere sfruttate per attacchi zero-day. Gli utenti tecnici dovrebbero prioritizzare l’aggiornamento di Chrome alla versione più recente e garantire che gli aggiornamenti automatici siano attivati per ricevere future patch in tempo reale.
Fonte: https://gbhackers.com/google-chrome-update-patches-18-security-flaws/
