L'ultima vulnerabilità scoperta in Google Chrome, probabilmente il browser più utilizzato al mondo, era anche una delle più pericolose, ma il colosso di Mountain View ha recentemente rilasciato un aggiornamento d'emergenza proprio per correggere questa falla di sicurezza definita ad alta gravità e che poteva portare al completo controllo dell'account di un utente. La particolarità di questa vulnerabilità risiede nella sua capacità di intercettare dati sensibili attraverso pagine HTML appositamente create, rendendo l'aggiornamento non solo consigliato ma necessario per tutti gli utenti del browser.
La vulnerabilità, identificata con il codice CVE-2025-4664, è stata individuata dal ricercatore di sicurezza Vsevolod Kokorin di Solidlab. Si tratta di un'insufficiente applicazione delle politiche nel componente Loader di Chrome, che consentirebbe a un attaccante remoto di intercettare dati tra diverse origini tramite pagine HTML create ad hoc. "Probabilmente sapete che, a differenza di altri browser, Chrome risolve l'intestazione Link nelle richieste di sottorisorse. Ma qual è il problema? Il problema è che l'intestazione Link può impostare una politica di referrer," ha spiegato Kokorin nei dettagli tecnici della scoperta.
Il ricercatore ha inoltre evidenziato come il difetto possa essere sfruttato specificando "unsafe-url" per catturare i parametri completi di una query. Questi parametri potrebbero contenere informazioni sensibili, come accade nei flussi OAuth, potenzialmente conducendo al completo controllo dell'account vittima. "Gli sviluppatori raramente considerano la possibilità di rubare parametri di query attraverso un'immagine proveniente da una risorsa di terze parti," ha aggiunto Kokorin, sottolineando un aspetto spesso trascurato nella sicurezza delle applicazioni web.
La situazione è particolarmente preoccupante poiché Google ha indicato di essere "a conoscenza di segnalazioni che un exploit per CVE-2025-4664 esiste in natura", un linguaggio che l'azienda utilizza tipicamente per indicare che la vulnerabilità è già stata sfruttata in attacchi reali. Sebbene non sia chiaro quanto diffuse siano queste minacce, la presenza di un exploit pubblico ha spinto i responsabili della sicurezza di Google a intervenire rapidamente.
In risposta alla minaccia, Google ha distribuito patch di sicurezza per gli utenti del canale Stable Desktop, con versioni corrette (136.0.7103.113 per Windows/Linux e 136.0.7103.114 per macOS) che stanno raggiungendo gli utenti in tutto il mondo. Nonostante l'azienda abbia dichiarato che gli aggiornamenti verranno distribuiti nell'arco di giorni o settimane, questi risultavano immediatamente disponibili quando BleepingComputer ha verificato la presenza di aggiornamenti.
Gli utenti che preferiscono non aggiornare Chrome manualmente possono anche lasciare che il browser controlli automaticamente la presenza di nuovi aggiornamenti e li installi dopo il successivo avvio. Questo processo è particolarmente raccomandato considerando la serietà della vulnerabilità e la sua potenziale capacità di compromettere la sicurezza degli account utente in maniera significativa.
La vulnerabilità sfrutta un aspetto tecnico del funzionamento di Chrome che lo differenzia da altri browser: il modo in cui gestisce l'intestazione Link nelle richieste di risorse. Questa differenza, apparentemente innocua, diventa pericolosa quando combinata con la possibilità di impostare politiche di referrer che permettono la cattura di parametri completi delle query, spesso contenenti token di accesso e altre informazioni sensibili utilizzate nei processi di autenticazione.
Il caso evidenzia una volta di più come le vulnerabilità più pericolose siano spesso quelle che sfruttano comportamenti specifici dei software, particolarità tecniche che gli sviluppatori potrebbero considerare caratteristiche e non difetti. La sicurezza informatica si conferma così un campo in costante evoluzione, dove anche le più grandi aziende tecnologiche devono rimanere vigilanti contro nuove forme di attacco.
Non è la prima volta quest'anno che Google affronta una vulnerabilità zero-day in Chrome. A marzo, l'azienda ha corretto un'altra falla di sicurezza ad alta gravità (CVE-2025-2783) che veniva sfruttata per distribuire malware in attacchi di spionaggio mirati contro organizzazioni governative russe, testate giornalistiche e istituzioni educative. I ricercatori di Kaspersky, che hanno scoperto questa vulnerabilità attivamente sfruttata, hanno riportato che gli attaccanti utilizzavano exploit per CVE-2025-2783 per aggirare le protezioni sandbox di Chrome e infettare gli obiettivi con malware.
Solo lo scorso anno, Google ha dovuto correggere ben 10 vulnerabilità zero-day divulgate durante la competizione di hacking Pwn2Own o sfruttate in attacchi reali.
