Aggiornamento urgente per Google Chrome: Use-after-free nel componente Serviceworker

Redazione RHC : 10 Settembre 2025 07:45

Un aggiornamento urgente per motivi di sicurezza è stato messo a disposizione da Google per il browser Chrome su sistema operativo Windows, Mac e Linux. Questa nuova versione risolve una falla critica che permetterebbe a malintenzionati di eseguire, da remoto, codice a loro discrezione.

Un potenziale aggressore è in grado di abusare di questa debolezza creando un sito web malevolo che, una volta visitato da un utente, permetterebbe all’aggressore di eseguire un codice sul sistema dell’utente stesso.

L’aggiornamento è attualmente in fase di distribuzione e sarà disponibile per tutti gli utenti nei prossimi giorni e settimane. Questa patch segue la versione iniziale di Chrome 140, che ha risolto anche diversi altri problemi di sicurezza.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Si consiglia vivamente agli utenti di aggiornare immediatamente i propri browser per proteggersi da potenziali minacce. Il canale stabile è stato aggiornato alla versione 140.0.7339.127/.128 per Windows, 140.0.7339.132/.133 per Mac e 140.0.7339.127 per Linux.

L’aggiornamento risolve due importanti falle di sicurezza, la più grave delle quali il CVE-2025-10200. Questa vulnerabilità è classificata come critica e viene descritta come un bug “Use-after-free” nel componente Serviceworker.

Un difetto di tipo use-after-free si verifica quando un programma tenta di utilizzare la memoria dopo che questa è stata deallocata, il che può causare arresti anomali, danneggiamento dei dati o, nel peggiore dei casi, esecuzione di codice arbitrario.

Il ricercatore di sicurezza Looben Yang ha segnalato questa falla critica il 22 agosto 2025. In riconoscimento della gravità della scoperta, Google ha assegnato una ricompensa di 43.000 dollari per il bug scoperto.

La seconda vulnerabilità corretta in questa versione è CVE-2025-10201, un difetto di elevata gravità identificato come “Implementazione inappropriata in Mojo”. Mojo è una raccolta di librerie runtime utilizzate per la comunicazione tra processi all’interno di Chromium, il progetto open source alla base di Chrome.

La seconda vulnerabilità è stata segnalata da Sahan Fernando e da un ricercatore anonimo il 18 agosto 2025. Ai reporter è stata assegnata una ricompensa di 30.000 dollari per le loro scoperte.

I difetti di questo componente possono essere particolarmente pericolosi in quanto possono compromettere potenzialmente la sandbox del browser, una funzionalità di sicurezza fondamentale che isola i processi per impedire che gli exploit influenzino il sistema sottostante.

Google sta distribuendo l’aggiornamento gradualmente, ma gli utenti possono verificarne manualmente la presenza e applicarlo andando su Impostazioni > Informazioni su Google Chrome.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli