Google ha rilasciato un aggiornamento di sicurezza fuori programma per Chrome che risolve due vulnerabilità zero-day ad alto rischio.
Entrambe le vulnerabilità possono essere sfruttate da remoto e richiedono semplicemente che un utente visiti un sito web dannoso. Poiché la complessità dell'attacco è bassa, queste vulnerabilità rappresentano un rischio concreto maggiore.
Come aggiornare Chrome
I numeri di versione più recenti sono146.0.7680.75/76 per Windows macOS e146.0.7680.75 per Linux. Se Chrome tuo Chrome è alla versione146.0.7680.75 o successive,sei protetto da queste vulnerabilità.
Il modo più semplice per rimanere aggiornati è consentire Chrome aggiornarsi automaticamente. Tuttavia, gli aggiornamenti potrebbero subire ritardi se chiudi raramente il browser o se qualcosa interferisce con il processo di aggiornamento.
Per aggiornare manualmente:
- Clicca sul menu"Altro" (i tre puntini)
- Vai suImpostazioni>Informazioni su Chrome.
- Se è disponibile un aggiornamento, Chrome a scaricarlo.
- Riavvia Chrome completare l'aggiornamento: in questo modo sarai protetto da queste vulnerabilità.
Puoi inoltre trovare istruzioni dettagliate nella nostra guida sucome aggiornare Chrome ogni sistema operativo, che include anche le istruzioni per verificare il numero di versione.
Dettagli tecnici
Google riferisce di aver individuato e risolto entrambi i bug internamente, con le correzioni rilasciate entro circa due giorni dalla segnalazione.
CVE-2026-3909 è una vulnerabilità di scrittura fuori limite presente in Skia, la libreria grafica 2D Chromeutilizzata per il rendering dei contenuti web e degli elementi dell'interfaccia utente. Un aggressore remoto può indurre un utente a visitare una pagina web dannosa che attiva il bug, danneggia la memoria e potenzialmente consente l'esecuzione di codice nel contesto del browser. Skia è una libreria grafica 2D open source utilizzata non solo in Google Chrome anche in molti altri prodotti.
CVE-2026-3910 è una vulnerabilità dovuta a un'implementazione non corretta nel motore JavaScript e WebAssembly V8. Una pagina HTML appositamente modificata potrebbe consentire a un aggressore remoto di eseguire codice arbitrario all'interno della sandbox di V8. V8 è il motore sviluppato da Google per l'elaborazione di JavaScript e ha già registrato un numero di bug superiore alla media.
I componenti Skia e V8 Chromerappresentano obiettivi primari poiché si trovano proprio nel percorso tra i contenuti web non attendibili e il sistema sottostante.
In Skia è possibile combinare una scrittura fuori dai limiti con altri bug per eludere la sandbox del renderer, mentre i difetti di implementazione di V8 compaiono spesso nelle catene di exploit utilizzate da autori di minacce mirate e fornitori di spyware.
Come stare al sicuro
Per proteggere il tuo dispositivo, aggiorna Chrome prima possibile. Ecco alcuni consigli in più per evitare di diventare una vittima, anche prima che venga rilasciata una patch per una vulnerabilità zero-day:
- Non cliccare su link non richiesti contenuti in e-mail, messaggi, siti web sconosciuti o social media.
- Abilita gli aggiornamenti automatici e riavvia regolarmente. Molti utenti lasciano i browser aperti per giorni, il che ritarda la protezione anche se l'aggiornamento viene scaricato in background.
- Utilizza unasoluzione anti-malwareaggiornata e in tempo reale che includa una componente di protezione web.
Gli utenti di altri browser basati su Chromium riceveranno presto un aggiornamento simile.
Non ci limitiamo a segnalare le minacce, ma le eliminiamo.
I rischi per la sicurezza informatica non dovrebbero mai diffondersi al di là di un titolo di giornale. Tenete le minacce lontane dai vostri dispositivi scaricando Malwarebytes oggi stesso.
