Google ha rilasciato un aggiornamento di sicurezza per Chrome risolve 18 vulnerabilità, tra cui quattro classificate come "critiche". Non vi sono indicazioni che qualcuno di questi bug, ora corretti, sia attualmente oggetto di attacchi in ambiente reale.
Il canale stabile è stato aggiornato alla versione 149.0.7827.196/197 per Windows Mac alla versione 149.0.7827.196 per Linux. L'aggiornamento verrà distribuito nei prossimi giorni e nelle prossime settimane. Anche Chrome Android recentemente aggiornato alla versione 149.0.7827.197.
Come aggiornare Chrome
Se non vuoi aspettare che l'aggiornamento arrivi automaticamente, aggiornarlo manualmente è semplicissimo.
La soluzione più semplice è lasciare Chrome aggiorni automaticamente. Tuttavia, potresti ritrovarti in ritardo con gli aggiornamenti se non chiudi mai il browser o se si verifica un problema, ad esempio un'estensione che impedisce l'aggiornamento.
Per eseguire l'aggiornamento manualmente, clicca sul menu"Altro"(i tre puntini), quindi vai suImpostazioni>Informazioni Chrome. Se è disponibile un aggiornamento, Chrome scaricarlo automaticamente. Riavvia Chrome completare l'aggiornamento e sarai protetto da queste vulnerabilità.
Nella nostra guida sucome aggiornare Chrome ogni sistema operativo troverai una spiegazione del sistema di numerazione delle versioni e istruzioni dettagliate.
Dettagli tecnici
Diamo un'occhiata alle due vulnerabilità critiche di WebGL. WebGL, abbreviazione di Web Graphics Library, è una tecnologia dei browser che consente ai siti web di visualizzare grafica interattiva in 2D e 3D.
Inizieremo con l'unica vulnerabilità che non è stata scoperta da Google. Si tratta di una vulnerabilità di tipo "use-after-free" in WebGL, identificata con il codice CVE-2026-13028, che potrebbe consentire a un malintenzionato di eludere la sandbox Chromebrowser Chromeutilizzando una pagina HTML appositamente modificata.
L'“use-after-free” è una categoria di vulnerabilità causata da un uso errato della memoria dinamica durante l'esecuzione di un programma. Se, dopo aver liberato una porzione di memoria, un programma non azzera il puntatore a quella porzione, un malintenzionato può sfruttare tale errore per causare il crash del programma o indurlo a eseguire codice che non dovrebbe eseguire.
La sandbox del browser è un ambiente limitato e isolato che ha lo scopo di confinare qualsiasi attività dannosa all’interno del browser stesso, anziché direttamente sull’intero computer. Pertanto, una fuga dalla sandbox è pericolosa perché può consentire agli aggressori di passare da una situazione in cui “si è verificato un evento dannoso all’interno del browser” a una in cui “un evento dannoso può interessare l’intero sistema”.
L'altra vulnerabilità critica di WebGL è la CVE-2026-13032. Si tratta anch'essa di una vulnerabilità di tipo "use-after-free" che potrebbe consentire a un aggressore remoto di eludere la sandbox tramite una pagina HTML appositamente modificata.
Anche in assenza di casi confermati di sfruttamento in ambiente reale di queste vulnerabilità (CVE), quest’anno Chrome subito diversi attacchi zero-day; è quindi evidente che gli hacker puntino sugli attacchi basati sul web. Ad esempio, la vulnerabilità CVE-2026-2441, per la quale è stato rilasciato un aggiornamento dedicato, consentiva agli aggressori di eseguire codice all’interno della sandbox Chrometramite una pagina web dannosa. Se combinata con una delle vulnerabilità WebGL descritte in precedenza, avrebbe potuto aiutare gli aggressori a eludere le protezioni del browser. Insieme, tali vulnerabilità avrebbero potenzialmente consentito agli aggressori di assumere il controllo dell’intero sistema.
Blocca le minacce prima che possano causare danni.
Malwarebytes Browser Guard automaticamente le pagine di phishing e i siti dannosi. È gratuito e si installa con un solo clic. Aggiungilo al tuo browser →
