Google Chrome corregge due vulnerabilità zero-day critiche: ecco come proteggersi

Google Chrome corregge due vulnerabilità zero-day critiche: ecco come proteggersi

Cosa sta accadendo e perché dovresti aggiornare Chrome oggi

Google ha appena rilasciato un aggiornamento di sicurezza critico per Chrome che risolve due vulnerabilità zero-day già utilizzate da criminali informatici nel mondo reale. Se usi Chrome sul tuo computer, la soluzione è semplice: aggiorna il browser alla versione 146.0.7680.75 o 146.0.7680.76 e riavvialo immediatamente. Questo è il terzo attacco di questo tipo nel 2026, quindi la situazione sta diventando seria.

Queste vulnerabilità sono particolarmente pericolose perché non richiedono azioni speciali da parte tua: basta visitare un sito web malevolo e il tuo computer potrebbe essere compromesso. Gli hacker potrebbero eseguire codice arbitrario sul tuo sistema, il che significa accesso completo ai tuoi dati personali.

Come aggiornare Chrome in pochi secondi

L’aggiornamento è già disponibile e si scarica automaticamente. Per assicurarti che sia installato:

  1. Apri Chrome
  2. Clicca sul menu (tre righe verticali) in alto a destra
  3. Vai su “Guida” e poi “Informazioni su Google Chrome”
  4. Chrome verificherà automaticamente gli aggiornamenti
  5. Quando vedi il pulsante “Riavvia Chrome”, cliccalo per completare l’installazione

Il processo richiede meno di un minuto e il tuo browser sarà immediatamente protetto.

Le vulnerabilità specifiche: cosa devi sapere

Google ha identificato due vulnerabilità critiche in questo aggiornamento:

CVE-2026-3909 (CVSS 8.8): Un errore di scrittura fuori dai limiti nella libreria grafica Skia. Skia è il componente che disegna tutto ciò che vedi sullo schermo, quindi è un bersaglio ad alto valore per gli attaccanti.

CVE-2026-3910 (CVSS 8.8): Un’implementazione impropria nel motore JavaScript V8. V8 è il cuore pulsante di Chrome, responsabile dell’esecuzione di tutto il codice JavaScript sui siti web che visiti.

Entrambe consentono a un attaccante remoto di eseguire codice arbitrario semplicemente inducendoti a visitare una pagina HTML malevola. Google ha confermato esplicitamente che questi exploit sono già stati osservati in uso da criminali.

Perché questo è un problema serio

Queste sono vulnerabilità zero-day, il che significa che erano sconosciute a Google prima che gli hacker iniziassero a usarle. Le autorità di cybersecurity (CISA) hanno aggiunto entrambe al loro catalogo di vulnerabilità critiche il 13 marzo, con una scadenza di correzione al 27 marzo per le agenzie federali.

Questa è la terza vulnerabilità zero-day attivamente sfruttata in Chrome dall’inizio del 2026. La prima (CVE-2026-2441) era un errore use-after-free nel CSS, rilevato a febbraio. Il fatto che gli hacker stiano scoprendo così tante vulnerabilità critiche in così poco tempo suggerisce che Chrome è diventato un bersaglio prioritario per i criminali informatici.

Cosa rende queste vulnerabilità particolarmente pericolose

Le vulnerabilità in V8 e Skia sono particolarmente appetibili perché:

  • Non richiedono privilegi speciali: Puoi essere compromesso semplicemente visitando un sito web
  • Non richiedono interazione aggiuntiva: Non devi fare clic su nulla di strano o scaricare file
  • Impattano altri browser: Poiché Skia e V8 sono librerie condivise, bug in questi componenti possono potenzialmente colpire anche altri browser basati su Chromium come Edge, Brave e Opera

Google mantiene i dettagli tecnici riservati per limitare la diffusione degli exploit, il che significa che gli sviluppatori di patch per altri browser dovranno aspettare prima di ricevere informazioni complete.

Se usi browser basati su Chromium

Se usi browser alternativi basati su Chromium (come Microsoft Edge, Brave, Opera o Vivaldi), dovresti applicare le correzioni fornite dai tuoi produttori non appena diventano disponibili. Questi browser condividono il codice di base di Chromium e sono vulnerabili agli stessi problemi.

Cosa sta cambiando con gli aggiornamenti di Chrome

In risposta a queste minacce crescenti, Google ha annunciato un cambio significativo nel suo calendario di aggiornamenti. A partire da settembre 2026, Chrome passerà da un ciclo di aggiornamento mensile a uno bisettimanale per il canale Stable. Questo significa che riceverai nuove versioni di Chrome ogni due settimane invece di una volta al mese.

Google afferma che questa frequenza maggiore, combinata con modifiche più circoscritte per rilascio, ridurrà le interruzioni e renderà più semplice individuare e correggere bug dopo il rilascio. Il nuovo ciclo inizierà l’8 settembre con Chrome 158.

Per gli amministratori IT, Google continuerà a offrire il canale Extended Stable con un ciclo di otto settimane, dando alle organizzazioni più tempo per testare e distribuire gli aggiornamenti.

Raccomandazioni per le organizzazioni

Se sei un amministratore IT:

  • Dai priorità all’aggiornamento su tutti i dispositivi dei dipendenti
  • Aggiorna le workstation degli amministratori e i sistemi condivisi utilizzati per la navigazione
  • Considera di implementare criteri di aggiornamento automatico se non già in uso
  • Monitora i log di sicurezza per eventuali segni di sfruttamento

Technical Deep Dive

Per i professionisti della sicurezza informatica e gli sviluppatori interessati ai dettagli tecnici:

Natura delle vulnerabilità

CVE-2026-3909 è classificato come un out-of-bounds write in Skia, il motore di rendering 2D di Chrome. Gli errori out-of-bounds write sono particolarmente pericolosi perché consentono a un attaccante di sovrascrivere memoria arbitraria, potenzialmente modificando il flusso di esecuzione del programma. Con un CVSS di 8.8, questo riflette l’elevata complessità dell’exploit ma anche il potenziale impatto critico.

CVE-2026-3910 riguarda un’implementazione impropria in V8, il motore JavaScript di Chrome. V8 è responsabile della compilazione JIT (Just-In-Time) del codice JavaScript e della gestione della memoria. Le implementazioni improprie in V8 possono consentire bypass delle protezioni di sicurezza come il sandboxing.

Vettore di attacco

Entrambe le vulnerabilità sono triggerabili tramite una pagina HTML malevola, il che significa che il vettore di attacco è una semplice navigazione web. Non è richiesto alcun download esplicito o interazione aggiuntiva da parte dell’utente. Questo rende questi exploit estremamente efficaci in campagne di compromissione di massa.

Strategie di mitigazione

Oltre all’aggiornamento immediato, le organizzazioni dovrebbero considerare:

  • Isolamento della rete: Limitare il traffico web a siti noti e approvati dove possibile
  • Content Security Policy (CSP): Implementare CSP rigorosi per ridurre il rischio di esecuzione di codice JavaScript malevolo
  • Monitoraggio comportamentale: Implementare strumenti che monitorano comportamenti anomali del browser, come allocazione massiccia di memoria o attività insolite di sistema
  • Sandboxing del browser: Considerare soluzioni di browser isolation per i dipendenti che visitano siti web non attendibili

Contesto storico

Google ha implementato AddressSanitizer, MemorySanitizer e Control Flow Integrity come strumenti di rilevamento interno per prevenire bug di corruzione della memoria. Tuttavia, come dimostra questa ondata di vulnerabilità zero-day, nessuno strumento di rilevamento può catturare il 100% dei problemi di sicurezza, specialmente quando gli attaccanti sono altamente motivati e sofisticati.

La frequenza crescente di zero-day in Chrome suggerisce che gli attaccanti stanno investendo risorse significative nell’analisi del codice sorgente di Chromium (che è open source) e nella ricerca di nuovi vettori di sfruttamento.

Fonte: https://gbhackers.com/chrome-security-update-fixes-26-vulnerabilities/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto