Azione immediata richiesta: aggiornate Chrome adesso
Google ha scoperto e corretto due vulnerabilità di sicurezza critiche nel browser Chrome che gli hacker stanno già sfruttando attivamente. Se utilizzate Chrome su computer o smartphone Android, dovete aggiornare il vostro browser il prima possibile. La buona notizia è che Google ha già rilasciato le patch di sicurezza, ma tocca a voi installarle. Non è complicato: se usate Chrome regolarmente, il browser vi chiederà di riavviarsi per applicare l’aggiornamento. Se non lo ha ancora fatto, potete forzare l’aggiornamento manualmente in pochi secondi.
Cosa è successo: le due vulnerabilità
Google ha identificato due falle di sicurezza ad alto rischio che colpiscono sia la versione desktop (Windows, Mac, Linux) che quella mobile (Android) di Chrome. La versione più recente per i computer è la 146.0.7680.80 e per i dispositivi Android è la 146.0.76380.119. Se il vostro numero di versione è inferiore, siete vulnerabili.
Le due vulnerabilità sono identificate come:
- CVE-2026-3910: un difetto nell’implementazione del motore JavaScript e WebAssembly V8
- CVE-2026-3909: un errore di scrittura fuori limite nella libreria grafica Skia
Entrambe permettono a un attaccante remoto di eseguire codice dannoso sul vostro computer o smartphone semplicemente inducendovi a visitare un sito web compromesso. Non è necessario scaricare nulla o fare clic su link sospetti: basta navigare su una pagina malevola e il vostro browser potrebbe essere compromesso.
Perché è una minaccia seria
Google utilizza il termine “exploit in the wild” quando una vulnerabilità è già stata scoperta e sfruttata dagli hacker nel mondo reale. Questo significa che non è una minaccia teorica: i criminali informatici stanno attivamente cercando di infettare i computer degli utenti attraverso queste falle. La complessità dell’attacco è bassa, il che significa che anche hacker meno esperti possono sfruttarla.
Poiché Chrome è il browser più utilizzato al mondo e viene integrato in molti servizi web aziendali, una compromissione può portare al furto di credenziali di accesso, all’intercettazione di email sensibili, al furto di dati aziendali e persino a un compromesso più ampio del vostro sistema.
Come aggiornare Chrome: istruzioni passo dopo passo
Su computer (Windows, Mac, Linux)
- Aprite Chrome
- Cliccate il menu con i tre puntini verticali in alto a destra
- Selezionate Impostazioni > Informazioni su Chrome
- Chrome cercherà automaticamente gli aggiornamenti disponibili
- Se un aggiornamento è disponibile, cliccate Aggiorna
- Al termine, cliccate Riavvia per applicare l’aggiornamento
- Chrome si riavvierà e l’aggiornamento sarà completato
In alternativa, potete semplicemente chiudere completamente Chrome e riaprirlo: il browser controlla automaticamente gli aggiornamenti ogni volta che si avvia.
Su smartphone Android
- Aprite il vostro app store ufficiale (Google Play Store)
- Cercate “Chrome”
- Se è disponibile un aggiornamento, vedrete un pulsante Aggiorna
- Toccate il pulsante e attendete che l’app si aggiorni
- Una volta completato, avete la versione più recente
Su iPhone
Se utilizzate Chrome su iPhone, non siete interessati da queste vulnerabilità. La versione iOS di Chrome non è affetta da questi problemi di sicurezza.
Consigli di sicurezza per il futuro
Oltre ad aggiornare Chrome, ci sono alcuni comportamenti che potete adottare per proteggervi:
- Non cliccate su link sospetti in email o su siti web sconosciuti
- Verificate l’URL prima di inserire password o dati sensibili
- Installate un antivirus affidabile sul vostro computer
- Mantenete aggiornati tutti i vostri software, non solo il browser
- Fate attenzione ai siti compromessi: anche siti legittimi possono essere hackerati e distribuire malware
Domande frequenti
Cosa fa esattamente CVE-2026-3910?
Questa vulnerabilità sfrutta un difetto nel modo in cui Chrome elabora il codice JavaScript e WebAssembly. Una pagina HTML appositamente costruita può indurre il motore V8 a eseguire codice arbitrario all’interno del sandbox del browser, potenzialmente permettendo all’attaccante di accedere ai vostri dati.
Cosa fa esattamente CVE-2026-3909?
Questa vulnerabilità è un errore nella libreria grafica Skia, che Chrome utilizza per disegnare elementi sullo schermo. Un attaccante può sfruttarla per corrompere la memoria e eseguire codice dannoso.
Sono al sicuro se non visito siti sospetti?
Non completamente. Anche siti legittimi e affidabili possono essere compromessi dagli hacker. Per questo motivo, l’unica vera protezione è mantenere il vostro browser aggiornato alle ultime versioni di sicurezza.
Quanto tempo impiega l’aggiornamento?
Su computer, l’aggiornamento di solito impiega pochi minuti e richiede un riavvio di Chrome. Su smartphone, dipende dalla velocità della vostra connessione, ma generalmente impiega meno di un minuto.
Technical Deep Dive
Analisi tecnica di CVE-2026-3910
CVE-2026-3910 è una vulnerabilità di tipo “inappropriate implementation” nel motore V8 di Chromium. V8 è il motore JavaScript open source sviluppato da Google che elabora tutto il codice JavaScript durante la navigazione web. La vulnerabilità consente a un attaccante di eludere i meccanismi di sicurezza del sandbox attraverso una pagina HTML appositamente costruita.
Il vettore di attacco è particolarmente insidioso perché richiede solo che l’utente visiti una pagina web compromessa. Non è necessario alcun clic aggiuntivo o interazione dell’utente. Il codice malevolo si attiva automaticamente durante il rendering della pagina.
V8 ha una storia di vulnerabilità di sicurezza superiore alla media nel panorama dei motori JavaScript, il che rende le patch di questo componente particolarmente critiche.
Analisi tecnica di CVE-2026-3909
CVE-2026-3909 è un’istanza di “out of bounds write” nella libreria grafica 2D Skia. Skia è una libreria open source ampiamente utilizzata non solo in Chrome, ma anche in altri prodotti Google e in applicazioni di terze parti per il rendering grafico.
Un errore di scrittura fuori limite consente a un attaccante di scrivere dati in aree di memoria non destinate, causando corruzione della memoria. In questo caso, la corruzione può essere sfruttata per eseguire codice arbitrario nel contesto del browser.
Poiché Skia elabora i contenuti grafici durante la normale navigazione, l’exploit può essere attivato semplicemente visitando una pagina web malevola che contiene elementi grafici appositamente costruiti.
Contesto delle vulnerabilità zero-day nel 2026
Queste vulnerabilità rappresentano la seconda scoperta di zero-day in Chrome nel 2026. Le vulnerabilità zero-day sono particolarmente preoccupanti perché, per definizione, nessuno conosce la falla prima che gli hacker la scoprano e la sfruttino. Google di solito mantiene un registro pubblico di tutte le vulnerabilità di sicurezza corrette, e il numero di zero-day attivi è un indicatore della salute generale della sicurezza del software.
Implicazioni per le organizzazioni
Per le aziende, queste vulnerabilità rappresentano un rischio significativo. Chrome è ampiamente utilizzato nei sistemi aziendali per accedere a servizi web, email e applicazioni SaaS. Un’infezione attraverso una di queste vulnerabilità potrebbe portare a:
- Furto di credenziali di accesso
- Accesso non autorizzato ad applicazioni aziendali
- Esfiltrazione di dati sensibili
- Compromissione di account di posta elettronica
- Accesso a dati sul dispositivo e nella rete aziendale
Le organizzazioni dovrebbero implementare politiche di aggiornamento automatico per Chrome e monitorare i dispositivi degli utenti per garantire che le patch siano applicate tempestivamente.
Sandbox di Chrome e limitazioni
Una considerazione importante è che Chrome utilizza un’architettura sandbox per isolare il codice JavaScript. Tuttavia, le vulnerabilità nel motore V8 stesso possono potenzialmente eludere questo sandbox, permettendo l’accesso a risorse più ampie del sistema.
Il sandbox di Chrome è progettato per limitare i danni anche se il codice JavaScript viene compromesso, ma non è una protezione assoluta contro tutti i tipi di exploit.
