Google ha rilasciato aggiornamenti di emergenza per correggere una vulnerabilità critica in Chrome attivamente sfruttata in attacchi zero-day, segnando il primo difetto di sicurezza di questa gravità risolto dall'inizio dell'anno. La falla, identificata come CVE-2026-2441, rappresenta una minaccia concreta per milioni di utenti del browser più diffuso al mondo, con evidenze che confermano lo sfruttamento attivo da parte di aggressori informatici. L'intervento rapido di Mountain View sottolinea la serietà della situazione, con patch già distribuite attraverso i canali stabili su tutte le piattaforme desktop.
Il problema tecnico alla base di questa vulnerabilità è classificato come use-after-free, un tipo di difetto particolarmente insidioso che può portare a conseguenze gravi. Secondo la cronologia dei commit di Chromium, la falla è stata scoperta dal ricercatore di sicurezza Shaheen Fazim e risiede nel componente CSSFontFeatureValuesMap, l'implementazione di Chrome per la gestione dei valori delle caratteristiche dei font CSS. Quando sfruttata con successo, questa vulnerabilità consente agli attaccanti di provocare crash del browser, problemi di rendering, corruzione dei dati o altri comportamenti indefiniti che possono compromettere la sicurezza del sistema.
La natura della patch rivela dettagli interessanti sull'urgenza dell'intervento. I messaggi di commit indicano che la correzione rilasciata affronta "il problema immediato", ma segnalano l'esistenza di "lavori rimanenti" tracciati nel bug 483936078. Questo suggerisce che la soluzione potrebbe essere temporanea o che esistono problematiche correlate ancora da risolvere. La patch è stata contrassegnata come "cherry-picked", ovvero retroportata attraverso multipli commit, una procedura che Google adotta solo quando la gravità della situazione richiede l'inclusione immediata in una release stabile, piuttosto che attendere la prossima versione maggiore.
Google ha confermato ufficialmente la presenza di exploit attivi, dichiarando in un avviso di sicurezza emesso venerdì scorso: "Google è consapevole dell'esistenza di un exploit per CVE-2026-2441 utilizzato attivamente". Tuttavia, l'azienda mantiene il massimo riserbo sui dettagli degli incidenti, una strategia standard quando si tratta di vulnerabilità sfruttate in attacchi reali. La politica di divulgazione limitata serve a proteggere gli utenti che non hanno ancora aggiornato i loro browser, impedendo ai criminali informatici di ottenere informazioni tecniche che potrebbero facilitare ulteriori attacchi.
Le nuove versioni sono attualmente in distribuzione attraverso il canale Stable Desktop, con Chrome 145.0.7632.75/76 per Windows e macOS e 144.0.7559.75 per Linux che raggiungeranno progressivamente tutti gli utenti nel corso dei prossimi giorni o settimane. Google ha specificato che l'accesso ai dettagli del bug e ai link correlati rimarrà ristretto finché la maggioranza degli utenti non avrà installato la correzione, una precauzione che si estende anche quando la vulnerabilità interessa librerie di terze parti utilizzate da altri progetti non ancora aggiornati.
Il consiglio è di verificare immediatamente la versione installata accedendo alle impostazioni di Chrome. Il browser è configurato per controllare automaticamente gli aggiornamenti e installarli al riavvio successivo, ma considerata la criticità della falla chi desidera proteggere subito il proprio sistema può forzare manualmente il controllo attraverso il menu "Informazioni su Google Chrome". Una volta scaricato l'aggiornamento, è sufficiente riavviare il browser per applicare la patch di sicurezza.
Questo zero-day rappresenta il primo della serie per il 2026, ma l'anno precedente aveva visto Google impegnata a correggere ben otto vulnerabilità sfruttate attivamente in natura. Molte di queste falle erano state identificate dal Threat Analysis Group (TAG) dell'azienda, un team specializzato nel tracciamento e nell'identificazione di zero-day utilizzati in campagne di spyware mirate contro individui ad alto rischio, inclusi giornalisti, dissidenti e attivisti per i diritti umani. La rapida risposta di Google a CVE-2026-2441 conferma l'efficacia dei sistemi di monitoraggio implementati e l'importanza di mantenere sempre aggiornato il software, specialmente quando si tratta del principale punto di accesso al web per miliardi di persone.
