Google ha rilasciato un aggiornamento di sicurezza d'emergenza per Chrome, correggendo quella che rappresenta la settima vulnerabilità zero-day sfruttata attivamente nel corso del 2025. La falla, catalogata come CVE-2025-13223 e classificata ad alta gravità, colpisce il motore JavaScript V8 e deriva da un errore di type confusion, una categoria di bug particolarmente insidiosa che consente agli attaccanti di manipolare la memoria del browser. La segnalazione arriva da Clement Lecigne del Threat Analysis Group di Google, divisione specializzata nel tracciare campagne di sorveglianza digitale orchestrate da attori governativi contro target ad alto profilo come giornalisti, dissidenti politici e attivisti per i diritti umani.
L'aggiornamento di sicurezza è già in distribuzione attraverso le versioni 142.0.7444.175/.176 per Windows, 142.0.7444.176 per macOS e 142.0.7444.175 per Linux nel canale Stable Desktop. Sebbene Google abbia programmato un rollout graduale nelle prossime settimane, la patch risulta già disponibile per il download immediato. Gli utenti possono verificare manualmente la presenza dell'aggiornamento navigando nel menu Chrome, selezionando Guida > Informazioni su Google Chrome e avviando il riavvio del browser dopo l'installazione automatica.
Il tipo di vulnerabilità individuata nel motore V8 rappresenta una minaccia concreta per la sicurezza del browser: i bug di type confusion permettono agli attaccanti di confondere il sistema di gestione dei tipi di dati, potenzialmente consentendo l'esecuzione di codice arbitrario o l'elusione delle protezioni sandbox. Storicamente, le falle nel motore V8 hanno costituito un vettore d'attacco privilegiato durante competizioni di hacking come Pwn2Own e in operazioni di spyware mirate.
Google mantiene una politica di disclosure limitata sui dettagli tecnici della vulnerabilità fino a quando la maggioranza degli utenti non avrà installato la correzione, un approccio standard nel settore per minimizzare la finestra di esposizione. L'azienda ha confermato l'esistenza di exploit attivi ma non ha ancora divulgato informazioni sui threat actor coinvolti, le tecniche di distribuzione o l'entità geografica delle campagne. Questa cautela si estende anche ai casi in cui la vulnerabilità risiede in librerie di terze parti condivise con altri progetti software non ancora aggiornati.
Il conteggio degli zero-day corretti nel 2025 rivela una tendenza preoccupante: oltre a CVE-2025-13223, Google ha rilasciato patch d'emergenza a marzo, maggio, giugno, luglio e settembre. Tra questi spiccano CVE-2025-10585 e CVE-2025-6558, entrambi identificati dal TAG rispettivamente a settembre e luglio. A maggio, la correzione di CVE-2025-4664 ha bloccato una campagna di account hijacking, mentre a giugno CVE-2025-5419 ha risolto falle di out-of-bounds read e write sempre nel motore V8.
Particolarmente significativo risulta il caso di marzo, quando Google ha neutralizzato CVE-2025-2783, un difetto di sandbox escape segnalato da Kaspersky e utilizzato in operazioni di cyber-spionaggio contro media e istituzioni governative russe. Il pattern complessivo evidenzia come Chrome rimanga un target strategico per attori statali e gruppi APT avanzati, che investono risorse considerevoli nello sviluppo di exploit per il browser più diffuso al mondo con oltre il 60% di quota di mercato globale.