Google corregge 79 vulnerabilità di Chrome, 14 sono critiche

Google corregge 79 vulnerabilità di Chrome, 14 sono critiche

Se usi Chrome, la cosa più importante da fare adesso è semplice: aggiorna subito il browser. Google ha distribuito un importante aggiornamento di sicurezza che chiude 79 vulnerabilità, tra cui 14 difetti critici che, in scenari peggiori, potrebbero consentire a un aggressore di bloccare il browser o eseguire codice dannoso sul dispositivo.

L’aggiornamento è già in fase di distribuzione graduale su Windows, Mac e Linux. Se non lo vedi ancora, controlla manualmente la presenza di nuove versioni nelle impostazioni di Chrome. Per utenti singoli e aziende, questa patch va trattata come una priorità alta, perché il browser è uno dei bersagli più frequenti per attacchi basati su contenuti web manipolati.

Perché questo aggiornamento è importante

Chrome è uno strumento usato ogni giorno per lavoro, acquisti, comunicazione e accesso ai servizi online. Proprio per questo, una falla nel browser può diventare un punto di ingresso molto prezioso per un attaccante. In questo caso, Google ha corretto problemi in componenti centrali del motore del browser e in aree legate alla gestione di immagini, grafica, memoria e contenuti interattivi.

Le vulnerabilità risolte includono errori come use-after-free, heap buffer overflow, integer overflow, problemi di convalida dei dati e difetti di sincronizzazione. Sono bug particolarmente delicati perché possono favorire crash improvvisi, violazioni della memoria o, nei casi peggiori, l’esecuzione di codice malevolo.

Cosa sapere in sintesi

  • Chrome ha ricevuto una patch di sicurezza molto ampia.
  • Sono state corrette 79 vulnerabilità in totale.
  • 14 di queste sono classificate come critiche.
  • Le aree più colpite includono WebML, Skia, Blink, GPU, Media, V8, ANGLE e Payments.
  • La soluzione più rapida è aggiornare Chrome immediatamente.

Le falle più pericolose corrette da Google

Tra i problemi più gravi figura una heap buffer overflow in WebML, un difetto che riguarda la gestione della memoria e che può essere sfruttato tramite contenuti web appositamente costruiti. Un’altra vulnerabilità critica interessa Skia, il motore grafico di Chrome, dove un integer overflow potrebbe aprire la strada a comportamenti imprevisti e potenzialmente pericolosi.

Google ha inoltre corretto numerosi casi di use-after-free in componenti fondamentali come:

  • UI
  • FileSystem
  • Input
  • Aura
  • HID
  • Blink
  • Downloads
  • Tab Groups

Questa categoria di bug si verifica quando il browser tenta di usare una porzione di memoria già liberata. È un errore molto comune nei software complessi e spesso difficile da gestire, perché può causare instabilità, crash o manipolazioni della memoria.

Altri problemi risolti nel browser

L’aggiornamento non si limita ai difetti critici. Google ha anche sistemato numerose vulnerabilità ad alta gravità che interessano funzioni essenziali del browser, tra cui:

  • WebAudio
  • WebRTC
  • Codecs
  • GPU
  • Fonts
  • V8
  • ANGLE

In particolare, sono state corrette forme di type confusion nel motore JavaScript V8 e un difetto di script injection nel Sanitizer API. Anche se questi bug non sono tutti uguali per impatto, possono diventare molto rilevanti se combinati in una catena di attacco più ampia.

Sono stati risolti anche problemi legati a una convalida insufficiente di input non attendibili in aree come Downloads, GPU, Reading Mode e Site Isolation. In pratica, il browser potrebbe aver accettato dati o istruzioni non adeguatamente controllati, con possibili conseguenze sulla sicurezza dei confini interni del sistema.

Quali rischi corrono gli utenti

Google non ha confermato un uso attivo di tutte queste vulnerabilità in campagne reali, ma questo non riduce l’urgenza dell’aggiornamento. I browser sono spesso il primo obiettivo dei criminali informatici perché elaborano continuamente contenuti provenienti da siti, pubblicità, script e file esterni.

Quando una vulnerabilità critica viene pubblicata e corretta, il rischio più alto riguarda gli utenti che rimandano l’installazione della patch. In quel periodo, eventuali attaccanti possono tentare di sfruttare versioni non aggiornate del browser con pagine web malevole o contenuti opportunamente preparati.

Come aggiornare Chrome subito

Per proteggerti, apri Chrome e vai su:

Impostazioni → Informazioni su Chrome

Il browser verificherà automaticamente la presenza di nuove versioni e, se disponibile, scaricherà l’aggiornamento. Dopo l’installazione, riavvia il browser per completare la procedura.

Se gestisci dispositivi aziendali, conviene pianificare la distribuzione della patch su tutti gli endpoint il prima possibile. Un ritardo anche breve può lasciare aperta una finestra di rischio non necessaria.

Perché i bug di memoria sono così delicati

Molte delle vulnerabilità corrette in questo rilascio rientrano nella famiglia degli errori di memoria. Questi difetti sono particolarmente insidiosi perché spesso emergono in aree dove il browser gestisce oggetti complessi, thread multipli o dati provenienti dall’esterno.

Le categorie più frequenti in questa patch includono:

  • Heap buffer overflow: scrittura oltre i limiti di memoria allocata.
  • Use-after-free: utilizzo di memoria già rilasciata.
  • Integer overflow: calcolo numerico errato che può alterare dimensioni o controlli.
  • Type confusion: il software interpreta un oggetto come se fosse di un tipo diverso.
  • Race condition: due processi o eventi interferiscono tra loro in modo imprevedibile.

Anche se questi concetti sono tecnici, il punto pratico è semplice: quando il browser gestisce male la memoria o i dati in ingresso, un sito malevolo può provare a trasformare un errore software in un problema di sicurezza reale.

Il ruolo della ricerca sulla sicurezza

Google ha riconosciuto il contributo sia dei team interni sia di ricercatori esterni che hanno segnalato i problemi. In diversi casi, le ricompense del programma di bug bounty hanno raggiunto valori elevati per le segnalazioni più importanti.

Questo tipo di collaborazione è essenziale per scoprire vulnerabilità prima che vengano sfruttate su larga scala. Allo stesso tempo, mostra quanto sia complesso mantenere sicuro un browser moderno, che integra motori JavaScript, grafica avanzata, API web, gestione multimediale e molte altre funzioni.

Cosa fare adesso, in pratica

Se sei un utente singolo:

  1. Apri Chrome.
  2. Vai su Impostazioni → Informazioni su Chrome.
  3. Controlla che il browser si aggiorni all’ultima versione disponibile.
  4. Riavvia Chrome dopo l’installazione.

Se lavori in azienda:

  1. Verifica lo stato di aggiornamento sui dispositivi gestiti.
  2. Prioritizza i sistemi più esposti alla navigazione web.
  3. Monitora eventuali policy che rallentano la distribuzione delle patch.
  4. Pianifica una verifica rapida della conformità.

Aggiornare subito è il modo più efficace per ridurre l’esposizione a eventuali tentativi di sfruttamento.

Technical Deep Dive

Il rilascio interessa numerosi componenti ad alta complessità del browser e mostra ancora una volta come la superficie d’attacco di un moderno motore web resti ampia. Le vulnerabilità più sensibili riguardano la gestione della memoria e il trattamento di contenuti non fidati, con impatto potenziale su esecuzione di codice, crash e bypass di protezioni.

Tra i casi più rilevanti spiccano gli errori in WebML e Skia, che coinvolgono rispettivamente l’elaborazione di modelli web e il rendering grafico. In entrambi i casi, un input costruito ad arte potrebbe alterare il comportamento del processo di rendering o della pipeline di elaborazione, soprattutto se combinato con altre debolezze.

Il gruppo più numeroso di fix riguarda componenti core come Blink, V8, ANGLE, GPU e Media, cioè aree che lavorano costantemente con dati dinamici e strutture complesse. Le vulnerabilità di use-after-free e type confusion sono particolarmente pericolose in questi contesti perché possono offrire primitive utili per escalation di impatto all’interno del browser process.

La correzione di problemi in DataTransfer, WebShare, Payments e nel controllo della validazione degli input segnala inoltre l’attenzione verso superfici d’attacco meno ovvie ma altrettanto importanti. Anche difetti classificati come medi possono diventare utili in catene di exploit multi-stadio, soprattutto se l’attaccante riesce a combinare una falla di validazione con una vulnerabilità di memoria.

Dal punto di vista difensivo, la mitigazione più efficace resta l’applicazione tempestiva della patch. Per ambienti enterprise, è consigliabile verificare la versione installata, forzare gli aggiornamenti dove possibile e monitorare i canali di distribuzione interna per evitare ritardi. In parallelo, le difese in profondità come sandboxing, isolamento dei siti e controlli sul contenuto non fidato continuano a svolgere un ruolo fondamentale, ma non sostituiscono la necessità di aggiornare il browser alla versione corretta.

Fonte: https://gbhackers.com/google-patches-79-chrome-security-vulnerabilities/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto