Netcrook Logo
👤 KERNELWATCHER
🗓️ 24 Mar 2026   🌍 North America

Dentro l’ultima crisi di Chrome: come otto falle allarmanti hanno spalancato la porta agli hacker

Google corre a correggere bug di gestione della memoria in Chrome dopo aver scoperto vulnerabilità che potrebbero permettere agli aggressori di prendere il controllo di milioni di dispositivi.

È iniziato, come tante emergenze informatiche, con poche righe di codice difettoso. Questa settimana Google si è affrettata a tappare otto falle di sicurezza critiche nel suo onnipresente browser Chrome - difetti così gravi che, se non corretti, avrebbero potuto consentire agli hacker di dirottare i computer degli utenti con nient’altro che un sito web malevolo. Per i milioni che si affidano a Chrome ogni giorno, la minaccia era invisibile ma pericolosamente reale.

Fatti rapidi

  • Google ha corretto 8 vulnerabilità di Chrome ad alta gravità, per lo più legate alla gestione della memoria.
  • Gli exploit potrebbero consentire l’esecuzione di codice da remoto - permettendo agli aggressori di eseguire comandi sulle macchine delle vittime.
  • Le falle critiche hanno colpito componenti fondamentali come WebAudio, WebGL, WebGPU, Dawn e FedCM.
  • Si invita gli utenti ad aggiornare immediatamente Chrome alle versioni 146.0.7680.164/165.
  • I dettagli tecnici restano riservati per ostacolare gli sforzi di reverse engineering dei cybercriminali.

L’anatomia di un’emergenza digitale

Al cuore di questa crisi ci sono difetti di gestione della memoria - da tempo un terreno di gioco prediletto dai cybercriminali. In questo aggiornamento di Chrome, gli ingegneri di Google si sono mossi in fretta per correggere overflow del buffer nell’heap, bug use-after-free, letture fuori dai limiti e perfino un overflow di interi. Ognuna di queste vulnerabilità, se lasciata senza controllo, può permettere agli aggressori di mandare in crash il browser o, peggio, eseguire il proprio codice sul dispositivo della vittima. Basta visitare un sito costruito ad arte.

Tra i bug più pericolosi c’erano due overflow del buffer nell’heap annidati nei componenti WebAudio e WebGL. Sono i sistemi responsabili della gestione di audio e grafica nel browser, e un singolo passo falso nella loro gestione della memoria può consentire a un aggressore di prendere il controllo. La falla di WebAudio, segnalata solo pochi mesi fa, ha fruttato al suo scopritore una ricompensa di 7.000 dollari - una testimonianza della sua gravità.

Altre vulnerabilità prendevano di mira il cuore stesso del rendering grafico di Chrome (WebGPU, Dawn), l’autenticazione (FedCM) e perfino il modo in cui legge i fogli di stile (CSS) e i font. I bug “use-after-free”, in particolare, sono notori perché permettono agli hacker di sfruttare memoria che avrebbe dovuto essere off-limits, aprendo una porta sul retro al codice malevolo.

Per ora Google sta tenendo i dettagli tecnici più minuti a porte chiuse. Questo blackout informativo è una mossa deliberata: trattenendo i dettagli, Google spera di precedere gli hacker che altrimenti potrebbero fare reverse engineering della patch e sviluppare exploit prima che gli utenti riescano a proteggersi. L’azienda ha anche avvertito che, se questi bug esistono in librerie di terze parti, i dettagli resteranno segreti finché tutti non avranno avuto la possibilità di applicare le correzioni.

Il messaggio è chiaro: gli utenti devono agire ora. Gli aggiornamenti di Chrome possono essere avviati manualmente andando nel menu Aiuto del browser, quindi “Informazioni su Google Chrome”. L’ultima versione verrà scaricata automaticamente, ma spetta a ciascun utente riavviare il browser e sigillare le crepe prima che i criminali possano infilarsi.

Dopo la patch: lezioni dal limite

Questo episodio è un duro promemoria del fatto che persino il software più affidabile al mondo può nascondere difetti pericolosi. Dietro l’interfaccia familiare di Chrome, infuria una battaglia incessante tra i difensori di Google e gli aspiranti aggressori. Per gli utenti, la vigilanza - e gli aggiornamenti tempestivi - restano la migliore difesa in un mondo in cui un singolo clic può fare la differenza tra sicurezza e compromissione.

WIKICROOK

  • Overflow del buffer nell’heap: Un overflow del buffer nell’heap si verifica quando un programma scrive più dati del previsto in un’area di memoria, rischiando la corruzione dei dati o l’esecuzione di codice da parte degli aggressori.
  • Use: In cybersecurity, “use” significa accedere o interagire con una risorsa. Un uso improprio, come usare memoria già liberata, può creare vulnerabilità di sicurezza.
  • Esecuzione di codice da remoto: L’esecuzione di codice da remoto consente agli aggressori di eseguire comandi sul tuo computer a distanza, spesso portando alla compromissione completa del sistema e al furto di dati.
  • Out: La verifica fuori banda (Out-of-Band) conferma l’identità usando un canale separato, come una telefonata o un SMS, per aumentare la sicurezza e prevenire accessi non autorizzati.
  • Overflow di interi: L’overflow di interi si verifica quando un calcolo supera l’intervallo di un tipo intero, causando un “wrap around” e potenzialmente creando vulnerabilità di sicurezza.
Chrome vulnerabilities Google patch Cybersecurity threats
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news