Google ha appena rilasciato Chrome 144, un aggiornamento essenziale per tutti gli utenti desktop. Se utilizzi Chrome su Windows, Mac o Linux, l’azione immediata è controllare e applicare l’update: basta aprire il browser, andare su Aiuto > Informazioni su Google Chrome e attendere il download automatico. Questo rilascio, iniziato il 13 gennaio 2026, corregge dieci vulnerabilità di sicurezza, concentrate soprattutto nel motore V8, che gestisce il JavaScript e potrebbe permettere attacchi remoti solo visitando un sito infetto. Non aspettare: un browser non aggiornato espone i tuoi dati a furti di password, ransomware o peggio.
L’update porta versioni specifiche come 144.0.7559.59 per Linux e 144.0.7559.59/60 per Windows e Mac, con miglioramenti non solo alla sicurezza ma anche alle performance generali. Viene distribuito gradualmente per garantire stabilità, ma puoi forzarlo manualmente dal menu del browser. In un mondo dove le minacce cyber evolvono rapidamente, questo è un passo cruciale per mantenere il tuo sistema protetto senza interruzioni.
Perché questo aggiornamento è urgente per te
Immagina di navigare innocente su un sito e, senza scaricare nulla, il tuo computer viene compromesso. È proprio questo il rischio delle falle nel V8: accessi memoria fuori limite o implementazioni errate che aprono la porta a codice arbitrario. Google ha riconosciuto il lavoro di ricercatori esterni, premiando scoperte con somme fino a 8.000 dollari. L’aggiornamento copre componenti chiave come il motore di rendering Blink, la gestione download, le credenziali digitali, le policy di rete e l’interfaccia utente, riducendo drasticamente le superfici di attacco.
Per l’utente medio, il messaggio è semplice: aggiorna ora. Non ci sono complicazioni, e il processo è automatico nella maggior parte dei casi. Questo mantiene Chrome, il browser più usato al mondo, all’avanguardia contro exploit zero-day, che sono sempre più comuni.
Dettagli sulle correzioni di sicurezza
Tra le patch, spiccano vulnerabilità classificate come alta, media e bassa gravità:
– Quattro di alta severità, inclusi problemi di accesso memoria out-of-bounds e implementazioni inappropriate nel V8.
– Quattro di media, come validazioni insufficienti nei download e policy di rete deboli.
– Due di bassa, relative a UI security e use-after-free in ANGLE.
Queste correzioni prevengono scenari catastrofici come la fuga dalla sandbox del browser, dove un attaccante potrebbe eseguire comandi sul tuo sistema operativo.
Approfondimento tecnico
Per chi vuole capire il cuore del problema, il motore V8 è il componente open-source che interpreta ed esegue JavaScript ad alta velocità, essenziale per il web moderno. Le vulnerabilità patchate includono:
– CVE-2026-0899 (Alta, V8): Accesso memoria out-of-bounds, scoperto da @p1nky4745 il 8 novembre 2025, premiato con 8.000 dollari.
– CVE-2026-0900 (Alta, V8): Implementazione inappropriata, interna a Google.
– CVE-2026-0901 (Alta, Blink): Implementazione inappropriata, da Irvan Kurniawan.
– CVE-2026-0902 (Media, V8): Implementazione inappropriata, premiata 4.000 dollari.
– CVE-2026-0903 (Media, Downloads): Validazione insufficiente input non fidato, 3.000 dollari.
– CVE-2026-0904 (Media, Credenziali Digitali): UI security errata, 1.000 dollari.
– CVE-2026-0905 (Media, Network): Enforcement policy insufficiente.
– CVE-2026-0906 (Bassa, UI): UI security errata, 2.000 dollari.
– CVE-2026-0907 (Bassa, Split View): UI security errata, 500 dollari.
– CVE-2026-0908 (Bassa, ANGLE): Use-after-free.
Approfondimento tecnico
Approfondimento tecnico: Analisi delle vulnerabilità V8 e metodologie di discovery
Il motore V8, sviluppato da Google, è un JIT compiler per JavaScript che ottimizza l’esecuzione dinamica del codice web. Le falle corrette in Chrome 144 sfruttano debolezze classiche come out-of-bounds access, dove un array index non valido accede a memoria adiacente, potenzialmente rivelando dati sensibili o permettendo overwrite. Ad esempio, CVE-2026-0899 coinvolge un buffer overflow nel parser V8, correggibile tramite bounds checking rafforzati.
Altre issues sono inappropriate implementations, spesso type confusion o logica errata nel garbage collector, che portano a use-after-free (UAF) come in CVE-2026-0908 su ANGLE (OpenGL ES su Vulkan/Metal/DirectX). Queste possono escalare privilegi, bypassando la sandbox di Chrome – un contenitore isolato che limita l’accesso al sistema.
Google impiega tool automatizzati per la detection:
– AddressSanitizer (ASan): Rileva overrun/underflow memoria.
– MemorySanitizer (MSan): Intercepta accessi memoria non inizializzata.
– UndefinedBehaviorSanitizer (UBSan): Flagga undefined behavior C++.
– Control Flow Integrity (CFI): Previene hijacking del flusso esecuzione.
– libFuzzer e AFL: Fuzzing coverage-guided per input mutati automaticamente.
Queste metodologie hanno identificato molte CVE internamente, mentre i bounty esterni incentivato la community. Per sviluppatori, raccomando di testare estensioni con Chrome DevTools e monitorare la console per warning V8.
Dal punto di vista performance, Chrome 144 include ottimizzazioni WebGPU (subgroupid, uniformbufferstandardlayout WGSL), utili per app grafiche intensive su Linux.
Come verificare e applicare l’update manualmente
- Apri Chrome.
- Digita
chrome://settings/helpnella barra indirizzi. - Clicca ‘Cerca aggiornamenti’.
- Riavvia al completamento.
Per enterprise, usa policy group per rollout forzato. In contesti critici, considera sandboxing aggiuntivo o browser alternativi come Firefox con patch simili.
Questo update riflette la cadenza mensile di Chrome, ma le minacce V8 underscore l’importanza di patching tempestivo. Con exploit zero-day in aumento – settima solo nel 2026 – gli utenti e admin IT devono prioritarizzare hygiene browser.
In sintesi, Chrome 144 non è solo un fix: rafforza la resilienza web contro attacchi sofisticati, bilanciando usabilità e sicurezza. Mantieniti aggiornato per navigare sereno.
