The Premise News
Tecnologia

Google corre ai ripari: quinta vulnerabilità zero-day attivamente sfruttata in Chrome nel 2026

David Wendel Batista
Google corre ai ripari: quinta vulnerabilità zero-day attivamente sfruttata in Chrome nel 2026 PHOTO BY The Premise News

Google ha rilasciato una patch d'emergenza per il browser Chrome, correggendo una vulnerabilità zero-day di elevata gravità che rappresenta la quinta falla attivamente sfruttata affrontata dall'azienda dall'inizio del 2026. Identificata come CVE-2026-11645, la debolezza risiede nel motore V8 di Chrome, il componente centrale che elabora i contenuti JavaScript e WebAssembly. Secondo un avviso di sicurezza pubblicato lunedì da Google, il codice di exploit mirato a questa falla è già stato osservato in natura. Questo episodio sottolinea la sfida persistente che i produttori di browser devono affrontare, poiché gli attori delle minacce prendono sempre più di mira i browser web, una delle superfici di attacco più attraenti per criminali informatici, gruppi di spionaggio e operatori di spyware commerciali.

Aggiornamento d'emergenza distribuito a livello globale

Google ha iniziato a distribuire versioni con patch di Chrome su tutte le principali piattaforme desktop — Windows, macOS e Linux — immediatamente dopo che la vulnerabilità è stata scoperta da un ricercatore di sicurezza anonimo. Le build aggiornate includono Chrome 149.0.7827.102 per Windows e Linux, e Chrome 149.0.7827.103 per macOS. Sebbene la società abbia notato che il rollout completo potrebbe richiedere diversi giorni o addirittura settimane attraverso i canali di aggiornamento standard, i ricercatori di sicurezza hanno confermato che l'aggiornamento è diventato disponibile immediatamente tramite il meccanismo di aggiornamento manuale di Chrome. Gli utenti possono attivare il processo navigando nel menu delle impostazioni del browser e selezionando la sezione "About Google Chrome", che verifica automaticamente la presenza di nuove versioni.

Distribuzione su sistemi operativi

La patch affronta una vulnerabilità particolarmente pericolosa a causa della sua natura di difetto di lettura e scrittura fuori dai limiti (out-of-bounds read and write) all'interno del motore V8. Tali debolezze si verificano quando il software accede in modo improprio a locazioni di memoria oltre un buffer allocato, portando a corruzione della memoria, divulgazione di informazioni, arresti anomali dell'applicazione e potenzialmente esecuzione di codice arbitrario. Google ha avvertito che gli aggressori potrebbero sfruttare CVE-2026-11645 attraverso contenuti HTML appositamente predisposti, veicolati da siti web dannosi o compromessi. La semplice visita a una pagina malevola potrebbe innescare la falla, anche all'interno dell'ambiente sandbox di Chrome — un livello di sicurezza critico progettato per isolare i contenuti web dal sistema operativo sottostante.

Vulnerabilità del motore V8 abilita lo sfruttamento della memoria

Le vulnerabilità di corruzione della memoria nei motori browser rimangono tra le categorie più preziose di difetti software, perché spesso servono come prima fase di un compromesso più ampio. Secondo le informazioni tecniche disponibili, lo sfruttamento riuscito di CVE-2026-11645 potrebbe consentire agli aggressori di:

  • Leggere i contenuti della memoria al di fuori dei confini designati.
  • Corrompere le strutture della memoria heap.
  • Divulgare informazioni sensibili memorizzate nei processi del browser.
  • Innescare crash e instabilità del browser.
  • Eludere i meccanismi di protezione della memoria.
  • Facilitare ulteriori attacchi di esecuzione di codice se concatenati con altre vulnerabilità.

I difetti di accesso alla memoria fuori dai limiti di questo tipo consentono spesso agli aggressori di bypassare difese come l'Address Space Layout Randomization (ASLR), un meccanismo di sicurezza progettato per rendere lo sfruttamento significativamente più difficile. Rivelando informazioni sul layout della memoria o corrompendo strutture critiche, gli attori possono aumentare l'affidabilità delle fasi di sfruttamento successive, portando potenzialmente al compromesso completo del sistema se sono disponibili altre debolezze.

Google trattiene i dettagli per prevenire exploit imitativi

Come prassi standard quando si affrontano vulnerabilità attivamente sfruttate, Google ha trattenuto informazioni tecniche dettagliate riguardanti gli attacchi. L'azienda ha dichiarato che l'accesso ai dettagli del bug, al codice proof-of-concept e alla documentazione correlata rimarrà limitato fino a quando la maggior parte degli utenti di Chrome non avrà installato l'aggiornamento di sicurezza. Questa politica è intesa a impedire ad altri attori delle minacce di sviluppare exploit imitativi prima che i sistemi vulnerabili siano stati corretti. Google ha anche indicato che le restrizioni di divulgazione potrebbero rimanere in vigore se progetti software di terze parti che si affidano a codice simile non hanno ancora implementato le correzioni corrispondenti. La società non ha rivelato chi ha scoperto la vulnerabilità, chi potrebbe sfruttarla, o se gli attacchi siano collegati a criminali informatici motivati finanziariamente, attori statali o fornitori di sorveglianza commerciale.

Zero-day del browser: un panorama di minacce persistente

Quest'ultimo incidente evidenzia una tendenza più ampia nel panorama della sicurezza informatica: i browser web sono diventati uno dei software più pesantemente presi di mira sia in ambienti aziendali che consumer. Poiché i browser fungono da gateway per applicazioni online, servizi cloud, piattaforme email, sistemi bancari e reti aziendali, un exploit riuscito del browser può fornire agli aggressori un punto d'appoggio in ambienti molto più ampi. I team di threat intelligence hanno osservato ripetutamente gruppi di Advanced Persistent Threat (APT) sfruttare vulnerabilità del browser per compromettere giornalisti, funzionari governativi, dissidenti politici e dirigenti aziendali. Negli ultimi anni, gli exploit zero-click e one-click del browser sono diventati un pilastro delle operazioni di spyware commerciale, con fornitori che sviluppano catene di attacco sofisticate in grado di compromettere i dispositivi attraverso contenuti web apparentemente innocui.

Quinta zero-day di Chrome corretta nel 2026

CVE-2026-11645 è la quinta vulnerabilità di Chrome attivamente sfruttata affrontata da Google quest'anno. L'azienda ha già risposto a una serie di significativi difetti di sicurezza durante la prima metà del 2026, tra cui:

  • CVE-2026-2441: Corretta a febbraio, questa vulnerabilità coinvolgeva problemi di invalidazione degli iteratori che interessano CSSFontFeatureValuesMap, un componente responsabile della gestione dei valori delle caratteristiche dei caratteri CSS nell'architettura di rendering di Chrome.
  • CVE-2026-3909: Divulgata a marzo, questa vulnerabilità di scrittura fuori dai limiti (out-of-bounds write) interessava la libreria grafica Skia, un motore grafico open source ampiamente utilizzato nell'ecosistema Chromium.
  • CVE-2026-3910: Anch'essa corretta a marzo, questa falla coinvolgeva una debolezza di implementazione all'interno del motore V8 JavaScript e WebAssembly, consentendo agli aggressori di manipolare il comportamento del browser in condizioni specifiche.
  • CVE-2026-5281: Affrontata ad aprile, questa vulnerabilità di use-after-free interessava Dawn, l'implementazione di Google dello standard WebGPU che abilita l'elaborazione grafica avanzata e l'accelerazione hardware nei browser moderni.

Le vulnerabilità di memory safety — inclusi bug use-after-free, letture fuori dai limiti e scritture fuori dai limiti — continuano a dominare l'attività di sfruttamento dei browser nonostante gli sforzi continui dei produttori di browser per rafforzare le difese. La comparsa ricorrente di tali difetti ha rinnovato le richieste per una più ampia adozione di linguaggi di programmazione memory-safe come Rust nello sviluppo dei browser. Google, Microsoft e altre aziende tecnologiche hanno enfatizzato sempre più le iniziative di memory safety dopo che studi hanno rivelato che una sostanziale maggioranza delle vulnerabilità software critiche deriva da errori di gestione della memoria. Sebbene l'architettura di Chrome incorpori già numerose mitigazioni — tra cui isolamento dei siti, sandboxing, sistemi di rilevamento degli exploit e separazione avanzata dei processi — gli esperti di sicurezza sostengono che ridurre il codice non memory-safe rimane una delle difese a lungo termine più efficaci contro lo sfruttamento del browser.

Il punto di vista di The Premise News: La patch d'emergenza per CVE-2026-11645 è molto più di un semplice aggiornamento di sicurezza: è un chiaro avvertimento che i produttori di browser sono bloccati in una corsa agli armamenti incessante con aggressori che oggi trattano gli exploit zero-day come merci. Con cinque zero-day di Chrome già corretti nel 2026, la frequenza dello sfruttamento attivo è diventata una caratteristica distintiva dell'attuale panorama delle minacce. Concretamente in gioco c'è la sicurezza di quasi ogni utente di Internet, poiché i browser rimangono l'interfaccia principale per lavoro, finanza, comunicazione e governance. La tensione chiave risiede tra la velocità dello sfruttamento e la distribuzione necessariamente lenta delle patch, che può lasciare grandi popolazioni esposte per giorni. I lettori dovrebbero osservare se Google e altri sviluppatori accelereranno l'adozione di linguaggi memory-safe come Rust e se gli attori delle minacce inizieranno a prendere di mira il processo di patching stesso. Un'osservazione acuta: il fatto che il Threat Analysis Group di Google scopra frequentemente queste campagne suggerisce che l'azienda è sia il difensore che una fonte primaria di intelligence — una posizione unica che sottolinea la portata della sfida. In definitiva, questa storia non riguarda un singolo bug; riguarda le vulnerabilità strutturali di un mondo digitale costruito su codice complesso e non memory-safe, che gli aggressori continueranno a sfruttare finché l'industria non modificherà fondamentalmente il proprio approccio.

Cosa ne pensi?