Google corregge una pericolosa vulnerabilità zero-day in Chrome

Google ha rilasciato un aggiornamento di sicurezza urgente per Google Chrome e corretto una vulnerabilità zero-day classificata ad alta gravità e già sfruttata attivamente.

Il bug use-after-free

La falla (CVE-2026-2441) è stata scoperta dal ricercatore Shaheen Fazim l’11 febbraio e corretta due giorni dopo. Si tratta di un bug di tipo use-after-free, con punteggio CVSS pari a 8.8, che potrebbe consentire l’esecuzione di codice arbitrario all’interno del sandbox del browser.

Pubblicità

Un errore use-after-free si verifica quando il software tenta di accedere a un’area di memoria precedentemente liberata. Questa condizione può essere manipolata da un attaccante per iniettare e avviare del codice malevolo. Nel caso specifico, la vulnerabilità interessa il motore CSS di Chrome, in particolare il componente CSSFontFeatureValuesMap responsabile della gestione dei font.

L’aspetto più preoccupante è che l’exploit non richiede delle interazioni complesse. È sufficiente visitare una pagina web appositamente predisposta con dei font manipolati per innescare l’attacco. Non è necessario cliccare link o scaricare file.

I rischi per gli utenti di Chrome

Google ha confermato che la vulnerabilità è stata sfruttata in attacchi reali. Grazie alla sandbox integrata di Chrome, l’impatto può essere però contenuto almeno in parte. Anche se non permette un controllo diretto dell’intero sistema operativo, l’exploit potrebbe permettere l’accesso ai dati di navigazione, all’analisi delle schede aperte o all’esecuzione di altre tecniche per evadere le protezioni del browser.

La patch è disponibile nelle versioni 145.0.7632.75 e 76 per Windows e macOS e 144.0.7559.75 per Linux già distribuite a livello globale. Gli utenti sono invitati ad aggiornare immediatamente il browser tramite il menu “Guida > Informazioni su Google Chrome”.

Iscriviti a Google News Per restare sempre aggiornato seguici su Google News! Seguici
Pubblicità
Claudio Garau
Claudio Garau
Web developer, programmatore, Database Administrator, Linux Admin, docente e copywriter specializzato in contenuti sulle tecnologie orientate a Web, mobile, Cybersecurity e Digital Marketing per sviluppatori, PA e imprese.

Leggi anche...

Gemini di Google si integra con il Play Store per cercare e installare app

La ricerca di applicazioni su Android sta per subire...

Google utilizza le ricerche vocali e Lens per addestrare l’IA: come proteggere la tua privacy

Recentemente, Google ha annunciato che inizierà a raccogliere automaticamente...

L’AI di Google Documenti: come la dettatura vocale trasforma la scrittura

L'intelligenza artificiale sta rivoluzionando il modo in cui interagiamo...

Problemi con Gemini: l’assistente AI di Google in down globale

Negli ultimi giorni, Gemini, l'assistente basato su intelligenza artificiale...

Google presenta la “Gemini Era” con il restyling delle icone di Workspace

Google ha avviato un significativo restyling delle icone della...

Google Health Premium integrato negli abbonamenti AI Pro e Ultra di Google

Google ha annunciato che Google Health Premium sarà incluso...
Pubblicità