Google Chrome: patch d'emergenza per vulnerabilità zero-day sfruttata negli attacchi

Nel panorama sempre più complesso della sicurezza browser, il 2025 si apre con una serie di allarmi che non possono essere ignorati: ben otto vulnerabilità zero-day già sfruttate e una nuova minaccia pronta a manifestarsi nel 2026. In questa corsa contro il tempo, Google si trova costretta a intervenire con un aggiornamento emergenza per Chrome, il browser più diffuso e bersaglio privilegiato dei cybercriminali. Il cuore del problema è la pericolosa CVE-2026-2441, una falla classificata come use-after-free che interessa direttamente la gestione delle fonti tipografiche tramite la componente CSSFontFeatureValuesMap.

La scoperta di questa minaccia è stata attribuita al ricercatore Shaheen Fazim, che ha individuato la criticità analizzando i meccanismi di gestione dei font CSS. Il rischio è concreto e multiplo: la vulnerabilità consente a un attaccante di mandare in crash il sistema, compromettere l’integrità dei dati e causare comportamenti imprevedibili che potrebbero avere ripercussioni disastrose su milioni di dispositivi. La gravità della situazione è amplificata dalla conferma ufficiale di Google: esistono già exploit zero-day attivi, impiegati in attacchi reali e in grado di eludere le difese tradizionali dei sistemi informatici.

L’analisi approfondita del codice sorgente di Chromium offre ulteriori spunti di riflessione. Il commit relativo alla correzione mostra come, di fronte all’urgenza, Google abbia preferito adottare una patch emergenziale piuttosto che una soluzione definitiva. Il tracciamento delle attività nel bug 483936078 suggerisce che il team di sviluppo sta lavorando a una risoluzione più robusta, ma per ora la priorità è stata arginare l’emergenza attraverso una strategia di “cherry-pick” che coinvolge numerose versioni del browser. Questa scelta sottolinea l’estrema criticità della situazione e la necessità di fornire una risposta tempestiva agli utenti.

In linea con la propria politica di gestione delle crisi, Google mantiene il massimo riserbo sui dettagli tecnici degli attacchi. La scelta di limitare la diffusione delle informazioni più sensibili mira a proteggere la vasta base utenti, soprattutto in un contesto in cui la vulnerabilità coinvolge librerie di terze parti che non sono ancora state aggiornate. Solo quando la maggior parte degli utenti avrà ricevuto l’aggiornamento, si potrà parlare più apertamente delle specifiche tecniche e delle modalità di sfruttamento.

Nel frattempo, le nuove versioni corrette di Chrome stanno progressivamente raggiungendo gli utenti dei canali Stable su Windows, macOS (versioni 145.0.7632.75/76) e Linux (versione 144.0.7559.75), con un rollout globale pianificato per i prossimi giorni. Per chi non aggiorna manualmente, l’installazione verrà comunque completata automaticamente al successivo riavvio del browser, riducendo così il periodo di esposizione al rischio.

Un ruolo fondamentale in questa battaglia è svolto dal Threat Analysis Group di Google, da tempo impegnato nel monitoraggio delle vulnerabilità zero-day sfruttate in campagne di spyware contro figure particolarmente sensibili come giornalisti, attivisti e dissidenti politici. L’operato di questo team si conferma ancora una volta decisivo per la protezione degli utenti e per l’identificazione tempestiva delle minacce emergenti. Il messaggio che ne deriva è chiaro: procrastinare l’installazione degli aggiornamenti di sicurezza significa esporsi a rischi concreti e immediati, in un contesto dove i criminali informatici sono sempre pronti a sfruttare ogni finestra di vulnerabilità disponibile.

Questo nuovo episodio evidenzia quanto sia diventato imprescindibile mantenere un approccio proattivo nella gestione della sicurezza browser. Gli utenti sono chiamati a non sottovalutare mai la gravità delle segnalazioni e a considerare ogni aggiornamento emergenza come una priorità assoluta. Solo così sarà possibile arginare la crescente sofisticazione degli attacchi e preservare l’integrità dei propri dati e dispositivi in un ecosistema digitale sempre più minacciato.