CISA avverte di una vulnerabilità di Google Chromium sfruttata attivamente

CISA avverte di una vulnerabilità di Google Chromium sfruttata attivamente

La nuova minaccia per gli utenti di Google Chrome

Google ha recentemente rilasciato un importante aggiornamento di sicurezza per il browser Chrome per correggere quattro vulnerabilità critiche, tra cui una particolarmente pericolosa, identificata come CVE-2025-4664, che risulta già sfruttata attivamente da malintenzionati. Questa vulnerabilità ad alta gravità, con un punteggio CVSS di 4.3, è legata a un’applicazione insufficiente delle politiche di sicurezza nel componente Loader di Chrome, e consente potenzialmente la fuga di dati sensibili tra diverse origini web.

L’Agenzia per la Cybersicurezza e la Sicurezza delle Infrastrutture (CISA) ha aggiunto questa vulnerabilità al suo Catalogo delle Vulnerabilità Sfruttate Conosciute, sottolineando l’urgenza dell’aggiornamento per tutti gli utenti Chrome.

Dettagli tecnici della vulnerabilità CVE-2025-4664

La vulnerabilità in questione è stata descritta come “un’applicazione insufficiente delle politiche nel componente Loader di Google Chrome precedente alla versione 136.0.7103.113”, che permette a un attaccante remoto di accedere a dati cross-origin attraverso una pagina HTML appositamente creata.

Il problema è stato identificato e segnalato dal ricercatore di sicurezza Vsevolod Kokorin (@slonser_) il 5 maggio 2025. Secondo le sue spiegazioni tecniche, a differenza di altri browser, Chrome elabora l’intestazione Link nelle richieste di sotto-risorse. La criticità sta nel fatto che questa intestazione Link può impostare una referrer-policy. Un attaccante può specificare “unsafe-url” e catturare i parametri completi della query.

Ciò che rende particolarmente pericolosa questa vulnerabilità è che i parametri di query possono contenere dati sensibili che potrebbero portare al completo controllo di un account. Queste informazioni sensibili possono essere rubate tramite un’immagine caricata da una risorsa di terze parti.

Impatto e potenziali conseguenze

Le conseguenze di questa vulnerabilità sono potenzialmente gravi:

  1. Fuga di dati sensibili: I parametri URL nelle query possono contenere token di autenticazione, informazioni personali o altri dati riservati che normalmente sarebbero protetti dalle politiche di sicurezza del browser.
  2. Possibile compromissione degli account: Con l’accesso a determinati parametri delle query, gli attaccanti potrebbero ottenere informazioni sufficienti per eseguire attacchi di hijacking di sessione o compromissione completa degli account.
  3. Bypass delle protezioni di sicurezza: La vulnerabilità aggira le normali protezioni di sicurezza del browser che impediscono l’accesso cross-origin ai dati, una pietra miliare della sicurezza web moderna.

Cronologia degli eventi e risposta di Google

La scoperta e la gestione di questa vulnerabilità seguono una timeline ben definita:

  • 5 maggio 2025: Il ricercatore Vsevolod Kokorin (@slonser_) segnala pubblicamente il problema su X (ex Twitter), fornendo dettagli tecnici e una dimostrazione pratica.
  • 15 maggio 2025: Google rilascia ufficialmente gli aggiornamenti per risolvere la vulnerabilità, confermando che esiste un exploit attivo in natura.
  • 16 maggio 2025: La CISA aggiunge CVE-2025-4664 al suo Catalogo delle Vulnerabilità Sfruttate Conosciute, imponendo alle agenzie federali e raccomandando a tutte le organizzazioni di applicare la patch entro il 5 giugno 2025.

La rapidità della risposta di Google sottolinea la serietà della minaccia, considerando che questa è solo la seconda vulnerabilità dopo CVE-2025-2783 ad essere stata confermata come “sfruttata attivamente” quest’anno.

Altre vulnerabilità corrette nell’aggiornamento

Oltre a CVE-2025-4664, l’aggiornamento di Chrome risolve altre importanti vulnerabilità di sicurezza:

  • CVE-2025-4372: Una vulnerabilità di gravità media classificata come “use-after-free” nel modulo Web Audio di Chrome. Questo tipo di vulnerabilità può potenzialmente essere sfruttata per causare crash del sistema o eseguire codice dannoso.
  • CVE-2025-2783: La prima vulnerabilità zero-day scoperta in Chrome quest’anno. Sebbene i dettagli sul suo sfruttamento rimangano limitati, la sua presenza evidenzia la crescente frequenza delle minacce zero-day negli ecosistemi software moderni.

Come proteggere il tuo browser e i tuoi dati

Per proteggersi da questa e altre vulnerabilità, gli utenti devono adottare le seguenti misure preventive:

Aggiornamento immediato del browser

È fondamentale aggiornare Chrome alle seguenti versioni sicure:

  • Windows e Mac: 136.0.7103.113 o 136.0.7103.114
  • Linux: 136.0.7103.113

Per verificare la versione attuale e aggiornare Chrome:

  1. Fai clic sui tre punti verticali nell’angolo in alto a destra del browser
  2. Vai su “Guida” > “Informazioni su Google Chrome”
  3. Chrome verificherà automaticamente la disponibilità di aggiornamenti e li installerà

Estendere la protezione ad altri browser basati su Chromium

Se utilizzi altri browser basati su Chromium come Microsoft Edge, Brave, Opera o Vivaldi, è consigliabile verificare e applicare gli aggiornamenti di sicurezza non appena diventano disponibili. Questi browser condividono lo stesso motore di rendering di Chrome e potrebbero essere vulnerabili agli stessi problemi.

Misure di sicurezza aggiuntive

Per una protezione più completa, considera queste ulteriori misure di sicurezza:

  • Abilita gli aggiornamenti automatici: Assicurati che il tuo browser sia configurato per installarli automaticamente.
  • Utilizza un gestore di password: Evita di salvare informazioni sensibili nei parametri URL utilizzando un gestore di password sicuro.
  • Attiva l’autenticazione a due fattori (2FA): Questo offre un ulteriore livello di protezione anche se le credenziali vengono compromesse.
  • Monitora le tue attività online: Controlla regolarmente le attività dei tuoi account online per identificare accessi sospetti.
  • Utilizza una VPN: Considera l’uso di una VPN affidabile per una maggiore privacy durante la navigazione.

Implicazioni più ampie per la sicurezza web

Questa vulnerabilità solleva questioni importanti sulla sicurezza web in generale:

La crescente complessità dei browser moderni

I browser web moderni sono diventati ecosistemi software incredibilmente complessi, con milioni di righe di codice e innumerevoli funzionalità. Questa complessità aumenta inevitabilmente la superficie di attacco e rende più difficile garantire la sicurezza di ogni componente.

L’importanza della divulgazione responsabile

Il caso di CVE-2025-4664 evidenzia l’equilibrio delicato tra la divulgazione pubblica delle vulnerabilità e la protezione degli utenti. Sebbene il ricercatore abbia condiviso pubblicamente dettagli su X, Google è stata in grado di rispondere rapidamente con una patch.

La minaccia persistente degli attacchi zero-day

Con due vulnerabilità zero-day già confermate quest’anno (CVE-2025-2783 e CVE-2025-4664), è evidente che gli attacchi zero-day rimangono una minaccia significativa. Questi attacchi, che sfruttano vulnerabilità precedentemente sconosciute, sono particolarmente pericolosi poiché colpiscono prima che siano disponibili correzioni.

Raccomandazioni per organizzazioni e amministratori IT

Per le organizzazioni e gli amministratori IT, questa vulnerabilità richiede un’attenzione particolare:

Implementazione rapida delle patch

Le organizzazioni dovrebbero dare priorità all’applicazione di questo aggiornamento di sicurezza su tutti i sistemi, seguendo la scadenza del 5 giugno 2025 stabilita dalla CISA.

Monitoraggio e rilevamento

Implementa sistemi di monitoraggio per rilevare potenziali sfruttamenti di questa vulnerabilità, prestando particolare attenzione a richieste HTTP insolite o modelli di traffico anomali.

Formazione sulla consapevolezza della sicurezza

Educa gli utenti sui rischi associati alla navigazione web e sull’importanza di mantenere aggiornati i browser e altri software.

Strategie di mitigazione alternative

Se l’aggiornamento immediato non è possibile, considera l’implementazione di controlli di sicurezza aggiuntivi come proxy web sicuri, firewall per applicazioni web o soluzioni di isolamento del browser.

La vulnerabilità CVE-2025-4664 in Google Chrome rappresenta un serio rischio per la sicurezza e la privacy degli utenti di tutto il mondo. Il fatto che questa vulnerabilità sia già sfruttata attivamente la rende particolarmente preoccupante. La buona notizia è che Google ha risposto prontamente rilasciando un aggiornamento che risolve il problema.

È fondamentale che tutti gli utenti di Chrome e di altri browser basati su Chromium aggiornino immediatamente i loro software alla versione più recente. Inoltre, questa situazione serve come promemoria dell’importanza di mantenere aggiornati tutti i software e di adottare pratiche di sicurezza informatica solide.

In un panorama di minacce in continua evoluzione, restare vigili e proattivi nella gestione della sicurezza digitale non è solo consigliabile, ma essenziale. La collaborazione tra ricercatori di sicurezza, sviluppatori di software e utenti finali rimane la nostra migliore difesa contro le minacce informatiche emergenti.

Fonte: https://cybersecuritynews.com/cisa-warns-of-google-chromium-vulnerability-actively-exploited-in-the-wild

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto