Google ha rilasciato un aggiornamento di sicurezza urgente per Google Chrome e corretto una vulnerabilità zero-day classificata ad alta gravità e già sfruttata attivamente.
Il bug use-after-free
La falla (CVE-2026-2441) è stata scoperta dal ricercatore Shaheen Fazim l’11 febbraio e corretta due giorni dopo. Si tratta di un bug di tipo use-after-free, con punteggio CVSS pari a 8.8, che potrebbe consentire l’esecuzione di codice arbitrario all’interno del sandbox del browser.
Un errore use-after-free si verifica quando il software tenta di accedere a un’area di memoria precedentemente liberata. Questa condizione può essere manipolata da un attaccante per iniettare e avviare del codice malevolo. Nel caso specifico, la vulnerabilità interessa il motore CSS di Chrome, in particolare il componente CSSFontFeatureValuesMap responsabile della gestione dei font.
L’aspetto più preoccupante è che l’exploit non richiede delle interazioni complesse. È sufficiente visitare una pagina web appositamente predisposta con dei font manipolati per innescare l’attacco. Non è necessario cliccare link o scaricare file.
I rischi per gli utenti di Chrome
Google ha confermato che la vulnerabilità è stata sfruttata in attacchi reali. Grazie alla sandbox integrata di Chrome, l’impatto può essere però contenuto almeno in parte. Anche se non permette un controllo diretto dell’intero sistema operativo, l’exploit potrebbe permettere l’accesso ai dati di navigazione, all’analisi delle schede aperte o all’esecuzione di altre tecniche per evadere le protezioni del browser.
La patch è disponibile nelle versioni 145.0.7632.75 e 76 per Windows e macOS e 144.0.7559.75 per Linux già distribuite a livello globale. Gli utenti sono invitati ad aggiornare immediatamente il browser tramite il menu “Guida > Informazioni su Google Chrome”.
Per restare sempre aggiornato seguici su Google News!
