Chrome: corretta la prima falla 0-day del 2026 già sfruttata dagli hacker

Google ha distribuito nel fine settimana un importante aggiornamento per il canale Stable Desktop di Chrome, finalizzato a risolvere una problematica di sicurezza ad alta gravità. Si tratta della prima vulnerabilità zero-day corretta dall'azienda nel corso del 2026.

L'avviso di sicurezza pubblicato venerdì conferma che l'azienda è a conoscenza dell'esistenza di un exploit per la falla CVE-2026-2441 già utilizzato in attacchi reali. Le analisi tecniche, basate sulla cronologia dei commit di Chromium, rivelano che il problema risiede in una vulnerabilità di tipo use-after-free.

Nello specifico, l'errore è causato da un bug di "iterator invalidation" presente in CSSFontFeatureValuesMap, il componente di Chrome incaricato di gestire i valori delle funzionalità dei font CSS. Shaheen Fazim, il ricercatore di sicurezza che ha segnalato il problema, ha evidenziato come uno sfruttamento efficace di questa debolezza possa portare a conseguenze severe, tra cui il crash del browser, problemi di rendering, corruzione dei dati o altri comportamenti indesiderati.

Google corregge la prima falla 0-day su Chrome del 2026

Notevole è il fatto che la correzione sia stata etichettata come "cherry-picked" attraverso diversi commit, terminologia tecnica che indica che la patch è stata prelevata e applicata con urgenza alla versione stabile, senza attendere il naturale ciclo di rilascio della prossima versione maggiore. Una procedura del genere viene adottata solitamente quando la criticità della situazione impone tempi di reazione immediati.

Tuttavia, i messaggi associati al commit suggeriscono che la soluzione attuale affronti "il problema immediato", ma che vi sia ancora del "lavoro rimanente" tracciato nel bug 483936078. Google ha in ogni caso reso disponibile la correzione per gli utenti di tutto il mondo, con le nuove versioni sicure che sono identificate come 145.0.7632.75/76 per i sistemi Windows e macOS, mentre per l'ambiente Linux la versione di riferimento è la 144.0.7559.75.

Sebbene l'azienda abbia rilevato prove concrete di attacchi che sfruttano questa falla, non sono stati condivisi dettagli specifici riguardo alla natura degli incidenti o alle vittime coinvolte. La politica di Mountain View prevede infatti di mantenere riservati i dettagli tecnici e i link ai bug fino a quando la maggioranza dell'utenza non avrà effettuato l'aggiornamento, al fine di non agevolare ulteriori attori malevoli.

Le restrizioni sulla divulgazione delle informazioni rimarranno attive anche nel caso in cui il bug dovesse riguardare librerie di terze parti utilizzate da altri progetti non ancora messi in sicurezza. Gli utenti possono verificare la presenza dell'aggiornamento o forzarne l'installazione attraverso il menu delle impostazioni del browser, garantendosi così la protezione contro questo specifico vettore di attacco.

Vale la pena ricordare che, sebbene CVE-2026-2441 sia la prima zero-day dell'anno corrente, il 2025 ha visto la correzione di ben otto vulnerabilità analoghe sfruttate attivamente. Molte di queste erano state identificate dal Threat Analysis Group (TAG) di Google, divisione nota per il monitoraggio di minacce sofisticate e spyware mirati a individui ad alto rischio.