Chrome 142 è stato rilasciato da Google con ben 20 correzioni di sicurezza, molte delle quali di gravità elevata o critica. L’aggiornamento riguarda Windows, Mac e Linux, e introduce nuove protezioni contro attacchi avanzati, inclusi quelli che sfruttano la memoria del browser e nuove funzioni di isolamento dei processi. Per tutti gli utenti, il consiglio principale è: aggiorna subito Chrome alla versione 142.0.7444.60 o successiva, andando in Impostazioni → Informazioni su Google Chrome → Controlla aggiornamenti. Per chi lavora in aziende o gestisce reti, verifica che tutti i sistemi abbiano applicato l’aggiornamento, specialmente se usano Chrome per applicazioni critiche. Mantieni sempre attivo l’aggiornamento automatico e non ignorare gli avvisi di sicurezza.
Chrome 142: Cosa Cambia
Google ha annunciato la distribuzione di Chrome 142, una versione particolarmente significativa per la sicurezza dei milioni di utenti che usano il browser ogni giorno. Le novità principali riguardano:
- 20 vulnerabilità corrette, di cui 5 considerate di alta gravità nel motore V8 JavaScript.
- Modifiche strutturali che migliorano la protezione contro attacchi sempre più sofisticati, quali code execution, process isolation e accessi alla rete locale.
- Premi per gli esperti che hanno segnalato i bug, con oltre 120.000 dollari riconosciuti per la collaborazione responsabile.
Le Vulnerabilità Più Critiche
Una parte consistente degli interventi riguarda V8, il potente motore JavaScript di Chrome. Alcuni degli exploit corretti permettevano, attraverso codice malevolo incorporato in siti web o oggetti JavaScript, di prendere il controllo del computer sfruttando le falle di memoria, come:
- CVE-2025-12428 — Type Confusion in V8
- CVE-2025-12429 — Implementazione inappropriata in V8
- CVE-2025-12432 — Race condition in V8
- Altri legati a errori nella gestione degli oggetti, condizioni di concorrenza e implementazioni errate.
Tali bug potevano comportare codice eseguibile remoto (RCE), cioè la possibilità per un attaccante di avviare software sul PC della vittima semplicemente inducendola a visitare una pagina web malevola.
Al di fuori di V8, sono state sanate falle in:
- Chrome Media: errori nel ciclo di vita degli oggetti.
- Extensions: implementazioni non appropriate che potevano portare a fughe di dati o esecuzione non autorizzata.
- Storage: condizioni di gara (race condition) che rischiavano di corrompere dati o aprire accessi non previsti.
L’Omnibox (barra degli indirizzi) e altri elementi della UI sono stati ripuliti da problematiche che, pur se meno gravi, contribuivano a rendere le interfacce meno sicure o portavano a policy-bypass e indicatori indeboliti.
Novità nella Protezione: Origin Isolation
Un cambiamento strutturale fondamentale è l’arrivo dell’Origin Isolation. In parole semplici, Chrome non raggrupperà più i processi per “sito principale” ma li isolerà per ogni origine (dominio di terzo livello incluso).
Questa granularità eleva la sicurezza separando i contenuti provenienti da diversi sottodomini in processi distinti, riducendo drasticamente il rischio che bug o exploit su una sezione di un sito si propaghino ad altre.
Attenzione però: la maggiore suddivisione dei processi ha un impatto su consumi di memoria e risorse. Per ora, questa protezione sarà attiva di default solo su dispositivi con almeno 4GB di RAM, per mantenere prestazioni accettabili anche su hardware meno potente.
Gli amministratori di sistemi aziendali possono gestire questa funzione tramite la policy OriginKeyedProcessesEnabled.
Restrizioni di Accesso alla Rete Locale
Chrome 142 introduce una nuova barriera contro i tentativi da parte di siti pubblici di raggiungere dispositivi nella rete locale (ad esempio router, stampanti, telecamere). Ora, queste richieste sono bloccate o richiedono una speciale autorizzazione, accessibile solo in contesti sicuri.
Questo argine è stato pensato per evitare attacchi come il cross-site request forgery su dispositivi non pubblici e limitare le tecniche di fingerprinting della rete domestica. Il permesso ai siti di accedere alle risorse locali dev’essere esplicito e consapevole, e aiuta soprattutto dove le protezioni SSL/TLS non sono disponibili.
Bug Bounty Program: Collaborazione Comunitaria
Sempre più frequente è il ricorso alla comunità di ricercatori per individuare e segnalare falle. In questa tornata, Google ha assegnato oltre 120.000 dollari di premi a ricercatori esterni. Il bug più remunerato, CVE-2025-12428, ha fruttato 50.000 dollari per la sua scoperta.
Vulnerabilità Medie e Basse: Rischi Emergenti
Chrome 142 ha risolto anche problemi riguardanti nuove funzionalità emergenti, come WebXR (tecnologie per realtà estesa) e App-Bound Encryption, segno che il browser si sta espandendo in settori dove la sicurezza è ancora più delicata.
Tra le falle di media gravità:
- CVE-2025-12439 — Implementazione non appropriata in App-Bound Encryption
- CVE-2025-12443 — Lettura out-of-bounds in WebXR
- CVE-2025-12438 — Use-after-free in Ozone (sistema di input grafico)
Questi interventi sono essenziali per mantenere la sicurezza anche su funzioni nuove ma già diffuse su piattaforme web avanzate e applicazioni desktop.
Come Aggiornare Subito Chrome
L’aggiornamento viene distribuito in modo automatico, ma è sempre meglio verificare manualmente la presenza della versione 142:
- Apri Chrome.
- Vai su Impostazioni → Informazioni su Google Chrome.
- Clicca su Controlla aggiornamenti.
Se la versione è 142.0.7444.60 (o superiore), sei protetto. In caso contrario, l’aggiornamento sarà scaricato e installato. Riavvia il browser per finalizzare le modifiche.
Per chi gestisce ambienti aziendali, è consigliato utilizzare software di gestione centralizzata o politiche di gruppo per forzare l’aggiornamento su tutte le postazioni.
Approfondimento tecnico: Sicurezza, Prestazioni e Impatto
Chrome 142 rappresenta un esempio di come la sicurezza dei browser sia una corsa senza fine, scandita da evoluzioni tecnologiche e tentativi sempre più sofisticati di aggirare le difese.
Process Isolation: Vantaggi e Svantaggi
Origin Isolation rende l’esecuzione dei processi più sicura, ma comporta l’esigenza di infrastrutture hardware sufficienti. Nelle aziende, questa modifica va coordinata con il team IT per evitare rallentamenti su dispositivi datati.
D’altra parte, la separazione spinta dei processi limita vettori di attacco, sandboxando ogni origine e impedendo la propagazione di exploit cross-site.
Impatto sulle Web App e Intranet
La nuova barriera per la rete locale cambia le regole per le web app che interagiscono con dispositivi interni. Gli sviluppatori dovranno aggiornare i propri sistemi per richiedere agli utenti le nuove autorizzazioni, e le aziende dovrebbero testare tutte le applicazioni che comunicano con stampanti, scanner o router via browser.
Consiglio pratico avanzato:
Verifica e modifica i workflow delle applicazioni interne che utilizzano la connessione a dispositivi locali. Mantieni aggiornate le policy di sicurezza per evitare blocchi improvvisi o vulnerabilità non previste.
Bug più noti e come difendersi
- Type Confusion: Mantieni aggiornata la versione JavaScript delle tue applicazioni e limita l’uso di oggetti non tipizzati.
- Race Condition: Se sei sviluppatore, verifica che le operazioni concorrenti nei tuoi script rispettino le nuove API di Chrome.
- Use-after-free: Fai uso di strumenti statici e dinamici di analisi della memoria durante lo sviluppo, e se sei utente, aggiorna sempre il browser.
Consigli rivolti a utenti consapevoli
- Aggiorna regolarmente Chrome e le estensioni. Disattiva o rimuovi plugin che non usi e controlla la reputazione dei software installati.
- Utilizza password robuste e uniche per ogni servizio web, sfruttando un password manager.
- Se amministratore di rete, configura e monitora le policy di aggiornamento automatico per tutti i dispositivi. Analizza regolarmente i log di sicurezza.
- Testa le tue applicazioni interne dopo ogni aggiornamento significativo del browser.
- Attiva solo le autorizzazioni minime necessarie per il funzionamento delle web app che interagiscono con la rete locale.
- Partecipa, se possibile, a programmi di bug bounty per migliorare la sicurezza globale del browser.
La sicurezza non è mai “garantita”: solo la costante attenzione e l’aggiornamento continuo permettono di affrontare le minacce crescenti.
Fonte: https://gbhackers.com/chrome-142-update-patches-20-security-flaws
