Aggiornamento urgente Chrome: 31 vulnerabilità critiche da correggere subito
Google ha appena pubblicato un aggiornamento di sicurezza essenziale per il browser Chrome, che corregge 31 vulnerabilità, di cui 5 classificate come critiche. Se utilizzi Chrome su Windows, Mac o Linux, l’azione più importante da fare oggi stesso è aggiornare il browser alla versione più recente: 147.0.7727.101/102 per Windows e Mac, e 147.0.7727.101 per Linux. Questo update si sta distribuendo gradualmente in tutto il mondo, ma verifica manualmente ora per proteggerti da rischi immediati come l’esecuzione di codice arbitrario.
In termini semplici, queste vulnerabilità potrebbero permettere a malintenzionati di prendere il controllo del tuo computer semplicemente indirizzandoti su una pagina web malevola. Non aspettare: apri Chrome, vai su Menu > Aiuto > Informazioni su Google Chrome e lascia che il browser scarichi e installi l’update. Riavvia e sei al sicuro. Questa è la soluzione rapida per utenti di tutti i livelli, senza bisogno di conoscenze tecniche avanzate.
L’update affronta problemi che colpiscono componenti fondamentali del browser, come ANGLE, Proxy, Skia, Prerender e XR. I bug più comuni sono legati alla gestione della memoria, come use after free (uso di memoria liberata) e heap buffer overflow (sovraccarico del buffer heap), che rappresentano una sfida costante per la sicurezza dei browser moderni.
Google premia i ricercatori che scoprono queste falle attraverso il suo programma di ricompense per vulnerabilità. Ad esempio, un ricercatore ha ricevuto 90.000 dollari per un heap buffer overflow critico in ANGLE, mentre un altro ha ottenuto 10.000 dollari per un use-after-free in Proxy. Altre ricompense per vulnerabilità di alta gravità sono in fase di determinazione.
Per massimizzare la sicurezza, Google limita i dettagli pubblici sulle vulnerabilità fino a quando la maggior parte degli utenti non ha aggiornato. Questo approccio previene l’uso immediato da parte degli attaccanti. Priorità assoluta: aggiorna ora per individui e organizzazioni.
Come aggiornare passo per passo
- Apri Google Chrome.
- Clicca sui tre puntini verticali in alto a destra.
- Seleziona Aiuto > Informazioni su Google Chrome.
- Il browser controllerà automaticamente gli update, li scaricherà e ti chiederà di riavviare.
Ripeti questo processo regolarmente per mantenere il browser protetto. L’update risolve un totale di 31 falle di sicurezza, coprendo un’ampia gamma di componenti.
Queste patch non solo prevengono attacchi remoti, ma migliorano anche la stabilità generale del browser, riducendo crash e manipolazioni non autorizzate. In un mondo sempre più connesso, dove le minacce informatiche evolvono rapidamente, aggiornamenti come questo sono fondamentali per la tua privacy e sicurezza online.
Pensa a quante ore passi navigando: email, social, acquisti online. Una vulnerabilità non patchata potrebbe esporre i tuoi dati sensibili. L’aggiornamento è gratuito, veloce e automatico – non c’è motivo per rimandare.
Inoltre, incoraggia amici e familiari a fare lo stesso, specialmente se usano Chrome su dispositivi condivisi. La sicurezza è una responsabilità collettiva.
Approfondimento tecnico
Dettagli sulle vulnerabilità
Le falle critiche possono consentire l’esecuzione di codice arbitrario tramite pagine HTML malevole, portando a accesso non autorizzato, manipolazione dati o crash totali del browser. Ecco una panoramica delle principali CVE corrette:
| CVE ID | Gravità | Tipo di vulnerabilità | Componente |
|---|---|---|---|
| CVE-2026-6296 | Critica | Heap buffer overflow | ANGLE |
| CVE-2026-6297 | Critica | Use after free | Proxy |
| CVE-2026-6298 | Critica | Heap buffer overflow | Skia |
| CVE-2026-6299 | Critica | Use after free | Prerender |
| CVE-2026-6358 | Critica | Use after free | XR |
| CVE-2026-6359 | Alta | Use after free | Video |
| CVE-2026-6300 | Alta | Use after free | CSS |
| CVE-2026-6301 | Alta | Type confusion | Turbofan |
| CVE-2026-6302 | Alta | Use after free | Video |
| CVE-2026-6303 | Alta | Use after free | Codecs |
| CVE-2026-6304 | Alta | Use after free | Graphite |
| CVE-2026-6305 | Alta | Heap buffer overflow | PDFium |
| CVE-2026-6306 | Alta | Heap buffer overflow | PDFium |
| CVE-2026-6307 | Alta | Type confusion | Turbofan |
| CVE-2026-6308 | Alta | Out of bounds read | Media |
| CVE-2026-6309 | Alta | Use after free | Viz |
| CVE-2026-6360 | Alta | Use after free | FileSystem |
| CVE-2026-6310 | Alta | Use after free | Dawn |
| CVE-2026-6311 | Alta | Uninitialized use | Accessibility |
| CVE-2026-6312 | Alta | Insufficient policy enforcement | Passwords |
| CVE-2026-6313 | Alta | Insufficient policy enforcement | CORS |
| CVE-2026-6314 | Alta | Out of bounds write | GPU |
| CVE-2026-6315 | Alta | Use after free | Permissions |
| CVE-2026-6316 | Alta | Use after free | Forms |
| CVE-2026-6361 | Alta | Heap buffer overflow | PDFium |
| CVE-2026-6362 | Alta | Use after free | Codecs |
| CVE-2026-6317 | Alta | Use after free | Cast |
| CVE-2026-6363 | Media | Type confusion | V8 |
| CVE-2026-6318 | Media | Use after free | Codecs |
| CVE-2026-6319 | Media | Use after free | Payments |
| CVE-2026-6364 | Media | Out of bounds read | Skia |
Analisi per esperti
I bug di sicurezza della memoria dominano questo ciclo di patch, con enfasi su use-after-free e heap buffer overflow. Questi errori derivano da una gestione imperfetta della memoria dinamica in componenti grafici e di rendering come Skia (libreria 2D), ANGLE (WebGL) e PDFium (rendering PDF).
Ad esempio, un heap buffer overflow in ANGLE (CVE-2026-6296) permette la sovrascrittura di aree di memoria adiacenti, potenzialmente portando a ROP (Return-Oriented Programming) chains per bypassare meccanismi di mitigazione come ASLR e DEP.
Type confusion in Turbofan (motore JIT di V8) può causare dereferenziazione errata di oggetti, abilitando escalations di privilegi sandbox. Le falle in CORS e Passwords indicano debolezze nelle policy di enforcement, esponendo dati sensibili cross-origin.
Per i developer: monitora i changelogs di Chromium per integrazioni future. Usa tool come AddressSanitizer (ASan) per hunting simile in tuoi progetti. Il programma di bounty di Google continua a incentivare report responsabili, con payout elevati per chain exploit.
Mitigazioni avanzate: Abilita Site Isolation e PartitionAlloc in chrome://flags. Per enterprise, deploy via policy GPO o MDM con auto-update forzato.
Questo update sottolinea l’importanza di una pipeline CI/CD robusta per browser open-source, dove contributi community accelerano sia feature che fix.
Fonte: https://gbhackers.com/critical-chrome-flaws-allow-arbitrary-code-execution/
