Grave bug di Chrome: installare subito la nuova versione

Google ha distribuito un aggiornamento urgente per Chrome che risolve una grave vulnerabilità zero-day. Viene già attivamente sfruttata per eseguire attacchi, quindi gli utenti devono installare subito la nuova versione 145.0.7632.75/76 per Windows/macOS e 144.0.7559.75 per Linux. L’azienda di Mountain View rilascerà ulteriori dettagli nei prossimi giorni.

Exploit per Chrome: informazioni note

La vulnerabilità, indicata con CVE-2026-2441, è stata scoperta dal ricercatore di sicurezza Shaheen Fazim. È piuttosto grave (punteggio CVSS pari a 8,8) perché permette di eseguire codice arbitrario all’interno della sandbox di Chrome (che dovrebbe essere impenetrabile).

La vulnerabilità è del tipo use-after-free. Chrome tenta di accedere ad un locazione di memoria già liberata o cancellata. I cybercriminali possono quindi caricare nella locazione il codice infetto da eseguire. In base alla cronologia dei commit del progetto Chromium, il bug è presente nel componente CSSFontFeatureValuesMap del browser che gestisce i valori dei caratteri avanzati.

Utilizzando una pagina web con font speciali è possibile sfruttare la vulnerabilità ed eseguire il codice infetto. Non è necessaria l’interazione dell’utente (clic su link o download di file), in quanto il caricamento in memoria del codice avviene quando si apre la pagina web.

A causa della gravità e della disponibilità di exploit è stata rilasciata la relativa patch per la versione stabile di Chrome (invece di attendere la prossima major release). Tuttavia potrebbe essere un fix temporaneo, quindi il problema di sicurezza non è stato completamente risolto. Google non ha ancora fornito tutti i dettagli per questo motivo:

L’accesso ai dettagli e ai link potrebbe essere limitato finché la maggior parte degli utenti non riceverà il fix. Manterremo le restrizioni anche se il bug esiste in una libreria di terze parti da cui altri progetti dipendono in modo simile, ma non è ancora stato risolto.

Questa è la prima vulnerabilità zero-day di Chrome del 2026. Nel corso del 2025 sono state risolte otto vulnerabilità zero-day. Essendo il browser più utilizzato al mondo è ovviamente il bersaglio preferito dai cybercriminali.