Vulnerabilità di Chrome CVE-2026-11645
Google ha rilasciato aggiornamenti di sicurezza di emergenza per risolvere un'altra vulnerabilità zero-day attivamente sfruttata nel browser Chrome. La falla, identificata come CVE-2026-11645, è la quinta vulnerabilità zero-day di Chrome corretta dall'azienda dall'inizio del 2026.
Secondo Google, le prove confermano che un exploit che sfrutta questa vulnerabilità è già utilizzato in attacchi reali. Il problema è stato segnalato in forma anonima all'azienda, che ha quindi rilasciato una correzione tramite il canale Stable Desktop.
Le versioni aggiornate sono attualmente in fase di distribuzione a livello globale per Windows (149.0.7827.102), macOS (149.0.7827.103) e Linux (149.0.7827.102). Tuttavia, il processo di aggiornamento potrebbe richiedere diversi giorni o addirittura settimane prima di raggiungere tutti gli utenti di Chrome.
Per coloro che non installano manualmente gli aggiornamenti, Chrome è progettato per verificare e applicare automaticamente le patch di sicurezza disponibili al successivo avvio del browser.
Sommario
All’interno di CVE-2026-11645: un pericoloso difetto del motore V8
La vulnerabilità ad alta gravità deriva da una falla di accesso in lettura e scrittura fuori dai limiti della memoria all'interno del motore JavaScript V8 di Chrome. Gli aggressori possono sfruttare questa falla tramite pagine HTML appositamente create, consentendo potenzialmente l'esecuzione di codice arbitrario all'interno dell'ambiente sandbox del browser.
Uno sfruttamento riuscito può portare al danneggiamento dell'heap, consentendo agli aggressori di accedere alla memoria al di fuori dei limiti previsti. Questo comportamento può esporre informazioni sensibili, causare arresti anomali del browser o facilitare ulteriori attività dannose.
Oltre all'accesso non autorizzato alla memoria, la vulnerabilità potrebbe essere sfruttata anche per aggirare le protezioni di sicurezza come l'Address Space Layout Randomization (ASLR), aumentando la probabilità di eseguire codice arbitrario se combinata con altre debolezze.
Divulgazione limitata per proteggere gli utenti
Sebbene Google abbia riconosciuto lo sfruttamento attivo della vulnerabilità, l'azienda non ha ancora divulgato dettagli tecnici relativi agli attacchi. L'accesso alle informazioni sul bug e alle risorse correlate potrebbe rimanere limitato fino a quando una parte significativa degli utenti di Chrome non avrà installato l'aggiornamento di sicurezza.
Le restrizioni potrebbero inoltre persistere qualora il codice interessato sia presente all'interno di librerie di terze parti utilizzate da altri progetti che non hanno ancora implementato le proprie correzioni.
Un elenco sempre più lungo di minacce zero-day nel 2026
La vulnerabilità CVE-2026-11645 si aggiunge a diverse altre vulnerabilità zero-day di Chrome che sono state attivamente sfruttate quest'anno:
- CVE-2026-2441 – Una vulnerabilità di invalidazione dell'iteratore in CSSFontFeatureValuesMap, corretta a febbraio.
- CVE-2026-3909 – Una vulnerabilità di scrittura fuori dai limiti nella libreria grafica Skia 2D, sfruttata a marzo.
- CVE-2026-3910 – Una vulnerabilità di implementazione inappropriata che interessa il motore JavaScript e WebAssembly di V8, sfruttata anche a marzo.
- CVE-2026-5281 – Una vulnerabilità di tipo use-after-free in Dawn, l'implementazione WebGPU multipiattaforma di Chromium, corretta ad aprile.
La continua battaglia di Chrome contro gli exploit zero-day
L'ultimo aggiornamento di emergenza evidenzia la persistente minaccia rappresentata dalle vulnerabilità zero-day che prendono di mira i browser web moderni. Nel corso del 2025, Google ha risolto altre otto vulnerabilità zero-day di Chrome che erano state sfruttate in rete. Diverse di queste vulnerabilità sono state identificate dal Threat Analysis Group (TAG) di Google, un team specializzato noto per il monitoraggio di sofisticate operazioni di spionaggio informatico e campagne di spyware.
La continua scoperta di vulnerabilità attivamente sfruttate sottolinea l'importanza di aggiornamenti tempestivi dei browser e di una rapida risoluzione delle vulnerabilità per proteggere gli utenti dalle minacce informatiche in continua evoluzione.
