Negli ultimi giorni sono state scoperte nuove vulnerabilità critiche su Google Chrome che espongono milioni di utenti a rischi di attacchi informatici mirati. Questi bug, noti come “zero-day”, permettono ai cybercriminali di compromettere il browser prima che venga distribuita una correzione. Aggiorna immediatamente Chrome all’ultima versione disponibile, attiva gli aggiornamenti automatici e presta attenzione alle email e ai siti sospetti per evitare di essere vittima di attacchi. Se utilizzi browser basati su Chromium (come Microsoft Edge, Brave, Opera, Vivaldi), controlla la disponibilità di patch anche per queste piattaforme.
Introduzione: la nuova ondata di bug su Chrome
Google Chrome è il browser più utilizzato al mondo e, proprio per questo, è uno dei principali bersagli degli hacker. Negli ultimi giorni sono state individuate e già sfruttate attivamente diverse vulnerabilità zero-day, cioè falle sconosciute a chi sviluppa il software ma prontamente sfruttate da chi attacca. Questi problemi sono talmente gravi che Google, dopo aver ricevuto le segnalazioni, è corsa ai ripari rilasciando patch urgenti in meno di 24 ore.
La situazione è dinamica e potenzialmente pericolosa: i dettagli tecnici non sono stati diffusi da Google proprio per non agevolare ulteriori attacchi, ma le minacce riguardano tutti coloro che utilizzano Chrome senza aver ancora aggiornato all’ultima versione.
Dettagli sulle vulnerabilità rilevate
Zero-day CVE-2025-10585: il bug più pericoloso di settembre-ottobre 2025
Il cuore del problema risiede in una falla denominata CVE-2025-10585, una vulnerabilità di tipo “type confusion” nel motore V8 di Chrome, responsabile della gestione di JavaScript e WebAssembly.
Un errore di “type confusion” si verifica quando il software gestisce dati o oggetti di un tipo diverso da quello previsto: questo permette agli hacker di mandare in crash il programma, eseguire codice arbitrario, sottrarre dati sensibili o installare altri malware sul dispositivo.
La vulnerabilità è stata scoperta dal Google Threat Analysis Group (TAG), che spesso rileva bug usati da gruppi sponsorizzati da governi per attacchi mirati contro giornalisti, dissidenti e oppositori politici.
Il bug è stato segnalato il 16 settembre 2025, e Google ha subito distribuito un aggiornamento il giorno seguente. Se stai usando una versione precedente alla 140.0.7339.185 di Chrome, sei a rischio e devi aggiornare immediatamente.
Altre falle gravi scoperte e corrette
Nelle stesse settimane sono state corrette altre vulnerabilità, alcune delle quali di grado elevato:
- CVE-2025-10500 (use-after-free nella componente Dawn, legata al WebGPU): un bug che può consentire il controllo della memoria dopo la sua liberazione, con potenziali esecuzioni di codice dannoso.
- CVE-2025-10501 (use-after-free in WebRTC): colpisce la tecnologia che permette la comunicazione in tempo reale tra browser.
- CVE-2025-10502 (heap buffer overflow in ANGLE, backend WebGL): rischio di sovrascrittura della memoria usata per la grafica.
In aggiunta, a inizio ottobre sono state segnalate ulteriori falle come CVE-2025-11458 (heap buffer overflow in Chrome Sync) e CVE-2025-11460 (use-after-free nello Storage), entrambe a rischio elevato e già oggetto di exploit.
Chi è a rischio?
Queste vulnerabilità non colpiscono solo gli utenti finali: anche aziende, amministrazioni pubbliche e organizzazioni no-profit sono potenzialmente esposte. Gli attacchi zero-day, infatti, vengono spesso usati per spionaggio e furto di informazioni, ma una volta che i dettagli tecnici diventano pubblici, anche i criminali comuni li sfruttano per ransomware e malware diffusi.
Il pericolo è esteso anche agli utenti di browser basati su Chromium, come Microsoft Edge, Brave, Opera e Vivaldi. Questi progetti condividono gran parte del codice di Chrome, quindi gli stessi bug riguardano anche loro. Microsoft ha già pubblicato una patch per Edge (versione 140.0.3485.81) specificamente destinata a correggere CVE-2025-10585.
Azioni urgenti: cosa fare subito per proteggersi
Ecco le azioni da mettere in pratica subito per difendere i tuoi dati e la tua sicurezza digitale:
- Aggiorna Chrome all’ultima versione stable (per Windows/Mac: 140.0.7339.185/.186; per Linux: 140.0.7339.185).
- Se usi altre piattaforme Chromium, verifica la disponibilità di patch e aggiorna anche quelle.
- Attiva gli aggiornamenti automatici per ricevere al più presto eventuali nuove correzioni.
- Evita di cliccare su link sospetti, soprattutto in email che simulano comunicazioni ufficiali.
- Scarica estensioni e software solo dagli store ufficiali (Chrome Web Store, Microsoft Store).
- Se sei un amministratore IT, usa strumenti avanzati di detection e patch management per monitorare e proteggere tutti i dispositivi.
Perché queste vulnerabilità sono così gravi?
Le vulnerabilità zero-day come quelle descritte sono particolarmente pericolose perché:
- Sono sconosciute agli sviluppatori fino al momento della scoperta.
- Sono già sfruttate dai criminali prima della pubblicazione della patch.
- Permettono il furto di credenziali, informazioni finanziarie, dati personali.
- Consentono attacchi sofisticati difficili da rilevare con antivirus tradizionali.
Spesso vengono usate da cyber-spie e gruppi APT (Advanced Persistent Threats) per operazioni segrete contro obiettivi specifici. Dopo la pubblicazione delle patch, le tecniche di attacco vengono “riciclate” da criminali comuni per truffe e attacchi di massa.
Come agiscono gli hacker e quali sono i rischi concreti
Gli hacker sfruttano il bug indirizzando vittime su siti web appositamente confezionati che iniettano codice malevolo nel browser attraverso la vulnerabilità. In alcuni casi, i link sono diffusi tramite email phishing o tramite download di software fasulli.
I rischi principali per chi usa una versione non aggiornata di Chrome sono:
- Furto di identità digitale: accesso fraudolento a dati personali e account online.
- Installazione di ulteriori malware: il browser compromesso può diventare la porta d’ingresso per altri programmi malevoli.
- Accesso remoto al dispositivo: in casi gravi, l’intero computer può essere preso sotto controllo da soggetti esterni.
- Perdita di dati sensibili (documenti riservati, credenziali bancarie, foto, ecc.).
Le vulnerabilità segnalate e la risposta di Google
Google, come da prassi, si è subito attivata rilasciando gli aggiornamenti di sicurezza, senza però rendere pubblici troppi dettagli tecnici per evitare l’escalation degli attacchi. Normalmente Google paga anche ricompense (bounty) agli esperti che identificano nuove vulnerabilità tramite il suo programma di “responsible disclosure”.
Le patch, disponibili via aggiornamento automatico, sono già state inserite anche nel catalogo delle vulnerabilità conosciute dalla CISA, l’agenzia statunitense di sicurezza informatica.
Best practice per la sicurezza: i consigli degli esperti
Riassumendo, tutti gli esperti di sicurezza concordano su alcune regole di base:
- Aggiorna sempre il browser non appena ricevi la notifica di nuove versioni.
- Se amministri dispositivi aziendali, valuta soluzioni che automatizzino il patching e la verifica delle versioni installate.
- Usa password robuste e attiva l’autenticazione a due fattori ove possibile.
- Mantieni sempre aggiornati anche sistema operativo e antivirus.
- Verifica regolarmente le estensioni installate; elimina quelle inutili o sospette.
- Se ricevi avvisi da società di sicurezza o da Google stessa, agisci senza indugio.
Che cosa succede se non aggiorni?
Chi non aggiorna rischia che il browser venga compromesso e che i propri dati finiscano nelle mani sbagliate. Se trascuri gli aggiornamenti e ignori le notifiche, la vulnerabilità rimane attiva e può essere sfruttata dalle nuove campagne malware, anche automatizzate.
Consigli finali (approfonditi) — Come difendersi a lungo termine
Approfondisci la tua sicurezza digitale adottando questi accorgimenti avanzati:
- Implementa soluzioni di “zero-touch patching” per automatizzare la distribuzione degli aggiornamenti su tutti i dispositivi aziendali.
- Usa strumenti di vulnerability scanning per individuare e mappare le falle non risolte all’interno della tua infrastruttura.
- Monitora costantemente i bollettini di sicurezza ufficiali di Google e delle principali fonti internazionali.
- Forma periodicamente gli utenti sull’importanza della sicurezza informatica e sui rischi del phishing.
- Utilizza antivirus e firewall aggiornati, integrandoli con sistemi di rilevamento delle minacce (EDR/XDR).
- Attiva log e audit su Chrome e sui servizi sensibili, in modo da intercettare tempestivamente attività anomale.
Aggiornare tempestivamente Chrome e tenere alta la guardia sulle nuove vulnerabilità è il modo più efficace per evitare danni, furti di dati e compromissioni. Proteggi i tuoi dispositivi oggi per non rischiare domani.
