/https://www.ilsoftware.it/app/uploads/2025/04/foto-michele-nasi.jpg){kind=small}
/https://www.ilsoftware.it/app/uploads/2026/02/vulnerabilita-zero-day-chrome-2026.jpg "Chrome, corretto il primo zero-day 2026 già sfruttato in attacchi")
Un aggiornamento di sicurezza rilasciato da Google a metà febbraio 2026 ha corretto una vulnerabilità zero-day nel browser Chrome già sfruttata in attacchi reali. La scoperta riporta l’attenzione su un vettore di compromissione che, storicamente, ha rappresentato uno degli obiettivi più ricercati da attori APT e cybercriminali: il browser, porta di accesso privilegiata per l’interazione quotidiana con servizi online, dati sensibili e infrastrutture aziendali.
Nel solo 2025 Google ha corretto almeno 8 vulnerabilità zero-day attivamente sfruttate in Chrome, confermando un trend di attacchi sempre più sofisticati rivolti alla superficie di attacco dei browser moderni.
Il primo zero-day Chrome del 2026: caratteristiche e gravità
La vulnerabilità, identificata come CVE-2026-2441, è classificata ad alta gravità ed è stata corretta tramite il rilascio di un aggiornamento di emergenza distribuito nel canale Stable del browser. Google ha confermato la presenza di exploit attivi nel mondo reale, senza fornire dettagli completi per evitare la replicazione degli attacchi prima dell’adozione diffusa delle patch.
Dal punto di vista tecnico, si tratta di un errore di gestione della memoria chiamato use-after-free, cioè l’uso di una porzione di memoria già liberata, che in questo caso si verifica nel sottosistema CSS del motore di rendering.
Si tratta di una categoria di vulnerabilità che si manifesta quando un puntatore continua a essere utilizzato dopo che l’area di memoria a cui fa riferimento è stata liberata. In un browser, questa situazione può essere sfruttata per alterare la memoria heap (la zona di memoria dinamica usata dal programma per le allocazioni durante l’esecuzione) e arrivare a eseguire codice arbitrario all’interno del processo di rendering, cioè il componente che si occupa di interpretare e visualizzare le pagine Web.
L’exploit può essere attivato inducendo l’utente ad aprire una pagina HTML appositamente costruita, scenario tipico di campagne di phishing o watering hole, una tecnica di attacco informatico in cui i criminali compromettono un sito Web frequentato abitualmente da un gruppo specifico di utenti per infettare i loro dispositivi quando lo visitano.
Anche se l’esecuzione avviene inizialmente nel contesto sandbox del browser, catene di exploit più complesse possono concatenare ulteriori vulnerabilità per evadere il perimetro di isolamento e ottenere privilegi più elevati.
Versioni corrette e distribuzione delle patch
La principale misura di difesa resta l’aggiornamento tempestivo del software. Chrome utilizza un sistema di aggiornamenti automatici, ma ambienti aziendali e sistemi gestiti centralmente possono introdurre ritardi nella distribuzione delle patch. In questi contesti è essenziale monitorare gli advisory di sicurezza e applicare aggiornamenti fuori ciclo quando sono segnalati exploit attivi.
Google ha corretto la falla nelle versioni stabili più recenti del browser, tra cui Chrome 145.0.7632.75 e 145.0.7632.76 per Windows e macOS, oltre alla build 144.0.7559.75 per Linux.
Gli aggiornamenti richiedono comunque il riavvio del browser per essere applicati.
Superficie di attacco del browser e meccanismi di exploit
Il browser moderno integra numerosi componenti complessi: motori JavaScript (V8), rendering engine, librerie grafiche, gestione WebRTC e moduli per l’elaborazione dei contenuti multimediali.
Ogni sottosistema rappresenta una possibile superficie di attacco. Nel caso della vulnerabilità CVE-2026-2441, il problema risiede nel motore di rendering CSS, che gestisce la composizione degli stili e l’interazione con il DOM.
Le vulnerabilità di tipo memory corruption come use-after-free e type confusion sono tra le più sfruttate perché consentono di manipolare il layout della memoria heap e iniettare codice. In un attacco tipico, il codice malevolo forza condizioni di allocazione e deallocazione controllate, creando una finestra temporale in cui un oggetto liberato è riutilizzato per eseguire istruzioni arbitrarie.
Il sandboxing di Chrome, che separa i processi renderer dal sistema operativo, riduce l’impatto immediato, ma non lo elimina. Exploit avanzati combinano bug nel renderer con vulnerabilità nel kernel o nei servizi di sistema per ottenere l’acquisizione di privilegi più elevati. È la tecnica già ben documentata nelle campagne di spionaggio digitale che hanno sfruttato catene multi-stadio.
/https://www.ilsoftware.it/app/uploads/2026/02/estensioni-spyware-chrome.jpg "Chrome: 287 estensioni spyware rubano la cronologia di 37 milioni di utenti")
/https://www.ilsoftware.it/app/uploads/2026/02/adguard-20000-righe-codice-javascript-remoto.jpg "AdGuard sotto la lente: inietta 20.000 righe di JavaScript in ogni pagina Web")
/https://www.ilsoftware.it/app/uploads/2026/02/mozilla-firefox-AI-controls.jpg "Firefox 148 introduce gli AI Controls: come disattivare tutte le funzioni di intelligenza artificiale")
/https://www.ilsoftware.it/app/uploads/2026/01/chrome-browser-agentico-AI-auto-browse.jpg "Chrome diventa “agentico”: AI Google ora naviga e agisce al posto tuo")