Google ha riconosciuto con un premio di 43.000 dollari il lavoro del ricercatore Looben Yang, che lo scorso agosto ha individuato una falla di sicurezza particolarmente grave nel browser Chrome. La scoperta si inserisce nel più ampio panorama del bug bounty hunting, una pratica sempre più diffusa che vede esperti di sicurezza informatica collaborare con le grandi aziende tecnologiche per identificare e correggere potenziali punti deboli nei loro software.
La natura tecnica della vulnerabilità scoperta
La vulnerabilità identificata, catalogata come CVE-2025-10200, rappresenta un classico esempio di use-after-free nel componente Serviceworker di Chrome. Questo tipo di falla si verifica quando un programma tenta di accedere a una porzione di memoria che è già stata liberata dal sistema, creando potenzialmente le condizioni per l'esecuzione di codice malevolo. I problemi di use-after-free sono particolarmente insidiosi perché possono manifestarsi in modi diversi: dal semplice crash dell'applicazione fino alla corruzione dei dati o, nel caso più grave, all'esecuzione remota di codice da parte di un attaccante.
Questi difetti rappresentano una delle categorie di vulnerabilità più comuni nei software scritti in linguaggi come C e C++, dove la gestione manuale della memoria lascia spazio a errori umani. Nel contesto dei browser web, dove la complessità del codice è estrema e l'interazione con contenuti esterni è costante, le vulnerabilità use-after-free assumono una rilevanza particolare per la sicurezza degli utenti.
Un doppio problema risolto simultaneamente
L'aggiornamento rilasciato da Google non si è limitato a correggere la sola vulnerabilità scoperta da Yang. Parallelamente è stata risolta anche CVE-2025-10201, una falla nell'implementazione di Mojo, il framework utilizzato da Chrome per la comunicazione tra processi. Questa seconda vulnerabilità è stata segnalata dai ricercatori Sahan Fernando e un esperto che ha preferito rimanere anonimo, ottenendo un riconoscimento economico di 30.000 dollari da parte di Google.
Il framework Mojo riveste un ruolo cruciale nell'architettura di sicurezza di Chrome, gestendo le comunicazioni tra i diversi processi che compongono il browser. Una sua implementazione inadeguata può compromettere l'isolamento tra i processi, uno dei pilastri fondamentali della sicurezza del browser moderno.
Tempistiche e distribuzione delle correzioni
La segnalazione di Yang è arrivata a Google il 22 agosto 2025 e il colosso di Mountain View ha reagito prontamente, integrando le correzioni necessarie in un aggiornamento distribuito attraverso diverse versioni specifiche per i vari sistemi operativi.
Gli utenti Windows ricevono l'aggiornamento nelle versioni 140.0.7339.127 o 140.0.7339.128, mentre per macOS sono disponibili le versioni 140.0.7339.132 e 140.0.7339.133. Gli utenti Linux, invece, possono installare la versione 140.0.7339.127.
Una vulnerabilità sfruttata nel mondo reale?
Un aspetto che rimane avvolto nel mistero riguarda l'eventuale sfruttamento attivo di queste vulnerabilità prima della loro correzione. Google ha mantenuto il riserbo su questo punto cruciale, non fornendo informazioni che possano chiarire se cybercriminali abbiano mai utilizzato queste falle per condurre attacchi concreti contro gli utenti di Chrome. Questa mancanza di trasparenza è comprensibile dal punto di vista strategico, ma lascia inevitabilmente aperte domande importanti sulla reale esposizione al rischio che gli utenti hanno corso prima dell'implementazione delle correzioni.
L'assenza di conferme ufficiali sullo sfruttamento in ambiente reale non deve tuttavia portare a sottovalutare la gravità delle vulnerabilità identificate. La natura critica della falla use-after-free e l'importanza del componente Mojo nell'architettura di Chrome rendono questi difetti potenzialmente molto pericolosi se caduti nelle mani sbagliate.
