Chrome ha appena ricevuto un importante aggiornamento di sicurezza che risolve una vulnerabilità critica nell’API Background Fetch. Se usi Chrome come browser principale, verifica subito se hai l’ultima versione andando su Impostazioni > Informazioni su Chrome e cliccando su “Cerca aggiornamenti”. Questo fix è essenziale per tutti gli utenti, perché protegge da rischi di sicurezza che potrebbero esporre i tuoi dati.
L’aggiornamento è in fase di distribuzione graduale su Windows, Mac e Linux, quindi potrebbe non essere ancora disponibile per tutti. Non aspettare: un controllo manuale ti mette al riparo immediatamente. Questa patch dimostra l’impegno continuo di Google nel mantenere Chrome uno dei browser più sicuri al mondo.
Cos’è successo e perché importa
L’aggiornamento delle versioni 144.0.7559.109 e 144.0.7559.110 del canale stabile affronta un problema grave legato all’implementazione dell’API Background Fetch. Questa API permette alle applicazioni web di scaricare file grandi in background, anche se chiudi la scheda o il browser. È utile per video, audio o software, ma una falla nella sua gestione poteva essere sfruttata da malintenzionati.
Il rollout inizia ora e si completerà nelle prossime settimane per garantire stabilità. Utenti individuali e aziende devono prioritarizzare questo update, specialmente se usano app web che sfruttano questa funzionalità. Soluzione rapida: apri Chrome, vai su chrome://settings/help e aggiorna. Su Linux, cerca la versione .109 specifica.
Per le imprese con flotte di Chrome, monitorate il deployment e testate la compatibilità delle applicazioni. Se riscontrate problemi, segnalateli tramite il sistema di bug report di Chrome o il forum della community.
Impatto sulla sicurezza quotidiana
Questa vulnerabilità, classificata ad alta severità con un punteggio CVSS di 7.5, riguardava un’implementazione inappropriata che poteva permettere leak di dati cross-origin. In parole semplici: un sito malevolo poteva accedere a informazioni sensibili da altri siti mentre navighi. Google ha pagato un bounty di 3.000 dollari al ricercatore che l’ha scoperta, confermando la serietà del problema.
Chrome continua a investire in difese multilayer: tool come AddressSanitizer, MemorySanitizer e libFuzzer prevengono che bug simili arrivino alla versione stabile. L’AI on-device rafforza ulteriormente la protezione, analizzando download e siti sospetti in tempo reale per bloccare phishing e scam emergenti.
Come funziona l’API Background Fetch
L’API Background Fetch è uno standard web che gestisce download lunghi senza interrompere l’uso del browser. Ad esempio, clicchi per scaricare un film: il browser lo fa in background, mostra i progressi e ti permette di cancellare. Funziona offline: inizia quando sei connesso e pausa se perdi la rete.
Richiede un service worker registrato. Ecco un esempio base in JavaScript:
if ('BackgroundFetchManager' in self) {
// Supporto disponibile
self.registration.backgroundFetch.fetch(/* opzioni */)
.then(bgFetch => {
// Gestisci il fetch
});
} else {
// Fallback per download
}
Eventi come backgroundfetchsuccess, backgroundfetchfail o backgroundfetchclick ti permettono di reagire ai completamenti o cancellazioni.
Consigli pratici per utenti e admin
- Utenti privati: Aggiorna manualmente e abilita gli update automatici.
- Aziende: Pianificate il rollout, testate app dipendenti dall’API e considerate workaround come disabilitare l’API via flag (chrome://flags).
- Alternative temporanee: Usate policy CSP strette o browser isolation.
Chrome 144 porta anche fix su V8 e Blink, riducendo superfici di attacco. Su Android, la versione 144.0.7559.76 allinea stabilità e sicurezza desktop.
Approfondimento tecnico
Dettagli della vulnerabilità
La falla (CWE-200, Information Leakage) derivava da un’implementazione errata dell’API Background Fetch in Chrome prima della 144.0.7559.110. Non rispettava policy same-origin, permettendo a attacker remoti di leakare dati cross-origin tramite pagine HTML maliziose. Impatto critico: esposizione di dati sensibili senza autorizzazione.
Timeline: Scoperta il 9 gennaio 2026 da un ricercatore indipendente, fixata immediatamente. Bounty elargito dal Vulnerability Reward Program di Google.
Patch e meccanismi di difesa
Il fix corregge l’enforcement delle restrizioni cross-origin. Versioni colpite: precedenti a 144.0.7559.109/.110 su tutte le piattaforme. Chromium-based browser devono seguire.
Google usa:
- AddressSanitizer: Rileva accessi memoria invalidi.
- MemorySanitizer: Intercepta usi memoria non inizializzata.
- Control Flow Integrity: Previene hijacking del flusso esecuzione.
- libFuzzer/AFL: Fuzzing per scoprire bug nascosti.
Workaround avanzati
- Disabilita via
chrome://flags/#enable-background-fetch. - Implementa CSP:
Content-Security-Policy: default-src 'self'; connect-src 'self'. - Monitora Chromium Issue Tracker per dettagli commit.
Esempio esteso di uso API
self.addEventListener('backgroundfetchsuccess', e => {
console.log('Tutti i fetch completati');
});
const bgFetch = await registration.backgroundFetch.fetch({
title: 'Download video',
icons: [{ src: 'icon.png' }],
downloads: [{ url: '/video.mp4' }]
});
Per sviluppatori: Verificate supporto con BackgroundFetchManager in self. Gestite eventi per UI user-visible: progress bar, cancel button.
Impatto enterprise e futuro
Organizzazioni con deployment grandi devono validare compatibilità. L’aggiornamento elimina limitazioni precedenti su check aggiornamenti, permettendo deploy immediati per non-security changes. AI locale (Enhanced Protection) aggiunge difesa comportamentale contro minacce zero-day.
Chrome resta leader in sicurezza grazie a collaborazione globale con ricercatori. Mantieniti aggiornato per navigare sereno.
Fonte: https://cybersecuritynews.com/chrome-fetch-api-vulnerability/
