Aggiornamenti urgenti per la sicurezza dei browser
Google e Mozilla hanno annunciato il rilascio di Chrome 144 e Firefox 147 con correzioni per un totale di 26 vulnerabilità di sicurezza. Se utilizzi uno di questi browser, è fondamentale eseguire l’aggiornamento il prima possibile. La soluzione è semplice: vai alle impostazioni del tuo browser, seleziona “Informazioni” e consenti l’installazione automatica degli aggiornamenti disponibili. Questo processo richiede pochi minuti e protegge il tuo dispositivo da attacchi potenzialmente gravi.
Cosa devi sapere
Le vulnerabilità corrette in questi aggiornamenti includono bug ad alta gravità che potrebbero consentire agli attaccanti di eseguire codice arbitrario sul tuo computer attraverso il browser. Sebbene al momento non siano stati segnalati exploit attivi in circolazione, la natura critica di questi difetti rende gli aggiornamenti essenziali per la protezione della tua sicurezza online e dei tuoi dati personali.
Chrome 144: 10 vulnerabilità corrette
Google ha rilasciato Chrome 144 nel canale stabile con correzioni per 10 difetti di sicurezza, di cui tre classificati come ad alta gravità. Questo aggiornamento è ora disponibile come versione 144.0.7559.59 per Linux e come versioni 144.0.7559.59/60 per Windows e macOS.
Due dei bug ad alta gravità colpiscono V8, il motore JavaScript e WebAssembly del browser:
– CVE-2026-0899: un problema di accesso alla memoria fuori dai limiti
– CVE-2026-0900: una debolezza di implementazione inappropriata
Il terzo bug ad alta gravità, CVE-2026-0901, è un errore di implementazione inappropriata in Blink, il motore di rendering di Chrome.
L’aggiornamento affronta anche quattro vulnerabilità di media gravità e tre di bassa gravità in V8, Downloads, Digital Credentials, Network, Split View e ANGLE. Google ha assegnato $18.500 in premi per bug bounty per sei di queste vulnerabilità.
Firefox 147: 16 vulnerabilità corrette
Mozilla ha rilasciato Firefox 147 con patch per 16 difetti di sicurezza, incluse sette questioni ad alta gravità. Questo aggiornamento è accompagnato anche da Firefox ESR 140.7 e Firefox ESR 115.32, che includono molte delle stesse correzioni.
Quattro dei bug ad alta gravità sono falle di sandbox escape che colpiscono i componenti Graphics e Messaging System del browser. Le tre rimanenti includono:
– Un bypass di mitigazione nel DOM
– Un problema use-after-free in IPC
– Bug di memory safety che potrebbero portare all’esecuzione remota di codice
L’aggiornamento risolve anche cinque vulnerabilità di media gravità e tre di bassa gravità in Networking, JavaScript Engine, JavaScript: GC, Graphics, XML e DOM.
Perché questi aggiornamenti sono importanti
Le vulnerabilità corrette in questi rilasci rappresentano rischi significativi per la sicurezza. I bug ad alta gravità potrebbero potenzialmente consentire agli attaccanti di:
– Eseguire codice arbitrario all’interno del contesto del browser
– Compromettere i dati utente memorizzati nel browser
– Accedere alle risorse di sistema attraverso il browser compromesso
– Eludere i meccanismi di sicurezza come le sandbox del browser
Sebbene Google e Mozilla non abbiano segnalato exploit attivi in circolazione per queste vulnerabilità, la gravità e la natura di questi difetti rendono gli aggiornamenti una priorità assoluta.
Come aggiornare i tuoi browser
Per Chrome:
- Fai clic sul menu a tre punti nell’angolo in alto a destra
- Seleziona “Informazioni su Google Chrome”
- Chrome cercherà automaticamente gli aggiornamenti e li installerà
- Riavvia il browser quando richiesto
- Fai clic sul menu hamburger (tre linee) nell’angolo in alto a destra
- Seleziona “Guida” > “Informazioni su Firefox”
- Firefox cercherà e installerà automaticamente gli aggiornamenti disponibili
- Riavvia il browser quando richiesto
Per Firefox:
La maggior parte degli utenti riceverà questi aggiornamenti automaticamente, ma è consigliabile verificare manualmente se hai disabilitato gli aggiornamenti automatici.
Contesto più ampio
Questi aggiornamenti fanno parte del ciclo di rilascio regolare di Google e Mozilla, che rilasciano patch di sicurezza mensilmente. Nel tempo, i browser moderni hanno integrato sempre più meccanismi di sicurezza, come le sandbox e i controlli di integrità del codice, per proteggere gli utenti da vulnerabilità come quelle affrontate in questi aggiornamenti.
Browser come Chrome e Firefox gestiscono milioni di richieste web ogni giorno, elaborando codice da fonti non attendibili. Questo li rende bersagli primari per gli attaccanti, il che è il motivo per cui gli aggiornamenti di sicurezza sono così critici.
Technical Deep Dive
Per gli utenti più esperti, ecco una panoramica tecnica delle vulnerabilità affrontate:
Vulnerabilità di Chrome 144
Le vulnerabilità in V8 (CVE-2026-0899 e CVE-2026-0900) probabilmente derivano da errori di gestione della memoria nel motore di esecuzione JavaScript. I problemi di accesso fuori dai limiti (out-of-bounds) possono consentire agli attaccanti di leggere o scrivere memoria arbitraria, potenzialmente portando all’esecuzione di codice.
CVE-2026-0901 in Blink, il motore di rendering basato su Chromium, indica probabilmente un’implementazione non corretta di una funzione di sicurezza o di una validazione di input. Questi tipi di vulnerabilità spesso derivano da logica difettosa in componenti critici come il parser HTML/CSS o l’elaborazione del DOM.
Vulnerabilità di Firefox 147
Le falle di sandbox escape (CVE-2026-0878 e CVE-2026-0879) rappresentano un rischio particolarmente elevato. Queste vulnerabilità sfruttano condizioni di confine errate nei componenti Graphics e CanvasWebGL, consentendo potenzialmente al codice JavaScript di accedere a risorse al di fuori della sandbox del browser.
CVE-2026-0891 e CVE-2026-0892 sono bug di memory safety che mostrano evidenza di corruzione della memoria. Questi sono particolarmente preoccupanti perché Mozilla indica esplicitamente che “con sufficiente sforzo, alcuni di questi potrebbero essere stati sfruttati per eseguire codice arbitrario”.
CVE-2026-0877, il bypass di mitigazione nel DOM, suggerisce che una misura di sicurezza nel Document Object Model è stata aggirata, potenzialmente consentendo attacchi che dovrebbero essere impediti da protezioni esistenti.
Implicazioni per la sicurezza
Queste vulnerabilità evidenziano l’importanza continua della ricerca sulla sicurezza dei browser e dei cicli di patching rapidi. La varietà dei componenti interessati (motori JavaScript, rendering, sandbox, IPC) dimostra che le vulnerabilità critiche possono emergere in qualsiasi parte di un’architettura browser complessa.
Gli utenti che desiderano ulteriori protezioni dovrebbero considerare:
– Mantenere i browser aggiornati all’ultima versione
– Utilizzare estensioni di sicurezza affidabili per protezione aggiuntiva
– Disabilitare JavaScript per siti non attendibili se possibile
– Utilizzare profili di browser separati per attività sensibili
– Mantenere il sistema operativo e altri software aggiornati
I ricercatori di sicurezza che desiderano analizzare ulteriormente queste vulnerabilità possono consultare i dettagli tecnici completi nei bollettini di sicurezza ufficiali di Google e Mozilla, che includono CVE, descrizioni tecniche e informazioni sui reporter.
Fonte: https://www.securityweek.com/chrome-144-firefox-147-patch-high-severity-vulnerabilities/
