Scoperto bug grave su Chrome: Google rilascia una patch di emergenza per la sesta 0-day del 2025

Google ha distribuito un aggiornamento di sicurezza critico per Chrome, correggendo una vulnerabilità zero-day catalogata come CVE-2025-10585 che risulta già sotto sfruttamento attivo da parte di cybercriminali. La falla, scoperta e segnalata dal Threat Analysis Group, si manifesta come bug di type confusion nel motore JavaScript V8 del browser.

Il problema consente potenzialmente l'esecuzione remota di codice malware sui sistemi degli utenti, rendendo necessario un intervento immediato da parte degli sviluppatori di Mountain View. Le versioni interessate dalla correzione sono Chrome 140.0.7339.185/.186 per Windows e macOS, oltre alla 140.0.7339.185 per Linux, disponibili attraverso il canale Stable Desktop.

Google risolve bug critico su Chrome: meglio aggiornare subito

L'aggiornamento può essere installato automaticamente dal browser o forzato manualmente accedendo al menu Informazioni su Google Chrome, completando la procedura con un riavvio del software.

La vulnerabilità permette agli attaccanti di compromettere i sistemi senza richiedere interazione da parte delle vittime, semplicemente visitando pagine web contenenti codice JavaScript appositamente realizzato. Andando più in profondità, CVE-2025-10585 sfrutta una debolezza di type confusion nel motore V8, meccanismo che gestisce l'esecuzione del codice JavaScript e WebAssembly all'interno del browser. Questo tipo di vulnerabilità si verifica quando il software interpreta erroneamente un'area di memoria come appartenente a un tipo di oggetto diverso da quello reale, permettendo agli aggressori di corrompere la memoria, causare crash del programma o eseguire codice arbitrario. La natura critica del difetto è accentuata dal fatto che il Threat Analysis Group ha confermato l'esistenza di exploit già funzionanti.

Google ha adottato la consueta politica di riservatezza sui dettagli tecnici specifici, limitando l'accesso alle informazioni fino al completamento della distribuzione delle patch alla maggioranza degli utenti. Tale approccio serve chiaramente a prevenire l'utilizzo della vulnerabilità da parte di ulteriori gruppi criminali prima che i sistemi possano essere protetti attraverso l'aggiornamento.

Google ha corretto, con quest'ultima, sei vulnerabilità 0-day già sfruttate attivamente al momento del fix, fra cui CVE-2025-2783 (marzo), CVE-2025-4664 (maggio), CVE-2025-5419 (giugno), CVE-2025-6554 e CVE-2025-6558 (luglio), quest'ultima anch'essa scoperta dal TAG e utilizzata per eludere le protezioni sandbox del browser. La frequenza di queste scoperte evidenzia l'intensificarsi degli sforzi di attacco contro uno dei software più diffusi al mondo, utilizzato da miliardi di persone quotidianamente.