Google Chrome 148 è disponibile: corregge 127 vulnerabilità di sicurezza, aggiorna subito

Google ha appena pubblicato Chrome 148, un aggiornamento cruciale per Windows, Mac e Linux che risolve ben 127 vulnerabilità di sicurezza. Si tratta di una delle release più ricche di fix mai viste di recente. La versione è 148.0.7778.96 per Linux e 148.0.7778.96/97 per Windows e Mac.

Cosa fare subito? Apri Chrome, vai su Impostazioni > Aiuto > Informazioni su Google Chrome e clicca per aggiornare. È semplice e ti protegge da rischi seri. Non aspettare: malware e attacchi possono sfruttare queste falle.

Questo update non è solo tecnico; protegge milioni di utenti da exploit che potrebbero rubare dati o eseguire codice malevolo. Continuiamo con i dettagli per capire perché è essenziale agire ora.

Perché questo aggiornamento è così importante?

Chrome è il browser più usato al mondo, e ogni giorno navighiamo su siti che potrebbero nascondere pericoli. Questa release affronta vulnerabilità scoperte da ricercatori e dal team interno di Google. Tra i 127 fix, tre sono classificate come critiche, oltre due dozzine come alte, e molte medie o basse.

In totale, Google ha premiato i ricercatori con oltre 100.000 dollari in bug bounties. Un singolo esperto ha ricevuto 55.000 dollari per una falla grave nel motore V8. Queste ricompense mostrano quanto siano reali i rischi e quanto sia proattivo Google nel rinforzare la sicurezza.

Le vulnerabilità critiche sono le più pericolose: permettono attacchi remoti che compromettono il sistema senza che l’utente se ne accorga. Pensa a siti web malevoli che, con un semplice clic, installano spyware. Aggiornando, blocchi tutto questo.

Le principali correzioni di sicurezza

Tra le falle più gravi, spiccano problemi di overflow intero nel motore di rendering Blink, scoperti da un ricercatore esterno. Questo tipo di errore può causare crash o esecuzione di codice arbitrario.

Poi ci sono due vulnerabilità use-after-free, una nel componente Mobile e l’altra in Chromoting (il desktop remoto di Chrome). Sono bug subdoli: la memoria liberata viene riutilizzata malevolmente, aprendo porte ad hacker.

Nel gruppo delle alte severità, domina un out-of-bounds read and write in V8, il motore JavaScript di Chrome. È stato segnalato da un team noto e ha fruttato il premio più alto. Altre falle includono heap buffer overflow e use-after-free in ANGLE, la layer per la grafica, ognuna premiata con 16.000 dollari.

Non mancano accessi impropri alla memoria in V8, scoperti da laboratori universitari. Insieme, questi difetti V8 e ANGLE rappresentano un rischio enorme per exploit drive-by: basta visitare una pagina web trappola.

Chrome 148 copre anche un’ampia gamma di use-after-free in componenti come SVG, DOM, Fullscreen, GPU, WebRTC, Skia, Passwords, ServiceWorker, PresentationAPI e WebAudio. Sono aree sensibili che gestiscono grafica, video e dati sensibili.

Vulnerabilità medie e basse non da sottovalutare

Anche le categorie inferiori meritano attenzione. Ci sono problemi di ciclo di vita degli oggetti in V8, type confusion in WebRTC e lacune nell’enforcement delle policy in DevTools, Estensioni e DirectSockets.

Una nota specifica per CVE relativa a MHTML: è bassa severità, ma permette leak di dati cross-origin tramite pagine crafted e gesti UI specifici. Un utente ingannato potrebbe esporre informazioni private.

Google ha collaborato con decine di ricercatori indipendenti, inclusi team da laboratori universitari e security lab asiatici. Hanno usato strumenti avanzati come fuzzing automatico, AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, libFuzzer e AFL. Questo arsenale dimostra l’impegno infrastrutturale di Google nella sicurezza proattiva.

Come aggiornare in modo sicuro

Per tutti gli utenti:

1. Apri Chrome.
2. Premi Ctrl + Shift + Esc (Windows) o vai su Attività (Mac) per verificare processi.
3. Vai su Impostazioni > Aiuto > Informazioni su Google Chrome.
4. Chrome scarica e installa automaticamente l’update. Riavvia.

Se usi Chrome su Linux, verifica la versione con google-chrome --version. Su enterprise, contatta l’admin per policy group.

La prossima release stabile, Chrome 149, arriverà il 2 giugno 2026. Fino ad allora, resta su 148 per massima protezione.

Approfondimento tecnico

Dettagli sulle vulnerabilità critiche

• CVE-2026-7896: Overflow intero in Blink. Triggerato da calcoli errati su interi grandi, porta a corruzione heap. Bounty: 43.000 dollari. Patch: validazione bounds rafforzata.
• CVE-2026-7897: Use-after-free in Mobile. Oggetto dereferenziato post-free, exploitabile per RCE. Interno Google.
• CVE-2026-7898: Use-after-free in Chromoting. Simile, ma in contesto remote desktop. Alto rischio per sessioni remote.

Evidenziati high-severity

• CVE-2026-7899: Out-of-bounds in V8. Read/write oltre array bounds in JIT compiler. $55.000 bounty. Mitigazione: sandbox V8 rinforzata.
• CVE-2026-7900/7901: Heap overflow e UAF in ANGLE. Colpisce WebGL rendering. $16.000 ciascuna. Fix: check alloc/free sincronizzati.
• CVE-2026-7902: Out-of-bounds in V8. Accesso memoria invalida. $8.000.

Analisi tecnica comune

Molti bug derivano da gestione memoria asincrona in renderer processes. Site Isolation (righe di rendering separate) mitiga, ma update è essenziale. Fuzzing ha generato miliardi di input per scoprire edge case.

Per developer: testa estensioni con Chrome 148. Verifica WebAssembly, Service Workers e DevTools per policy leaks. Usa chrome://flags per feature sperimentali post-update.

Impatto su ecosistema

Queste patch influenzano Chromium-based browser (Edge, Brave, Opera). Aggiorna anche loro. Per sysadmin: deploy via MSM per Windows, script per Linux.

In sintesi, Chrome 148 eleva gli standard di sicurezza browser. Resta aggiornato per navigare sereno.

(Contenuto circa 1050 parole)

Fonte: https://cybersecuritynews.com/chrome148-vulnerabilities-patched/