Aggiornamento urgente per Google Chrome: Use-after-free nel componente Serviceworker

Un aggiornamento urgente per motivi di sicurezza è stato messo a disposizione da Google per il browser Chrome su sistema operativo Windows, Mac e Linux. Questa nuova versione risolve una falla critica che permetterebbe a malintenzionati di eseguire, da remoto, codice a loro discrezione.

Un potenziale aggressore è in grado di abusare di questa debolezza creando un sito web malevolo che, una volta visitato da un utente, permetterebbe all’aggressore di eseguire un codice sul sistema dell’utente stesso.

L’aggiornamento è attualmente in fase di distribuzione e sarà disponibile per tutti gli utenti nei prossimi giorni e settimane. Questa patch segue la versione iniziale di Chrome 140, che ha risolto anche diversi altri problemi di sicurezza.

Si consiglia vivamente agli utenti di aggiornare immediatamente i propri browser per proteggersi da potenziali minacce. Il canale stabile è stato aggiornato alla versione 140.0.7339.127/.128 per Windows, 140.0.7339.132/.133 per Mac e 140.0.7339.127 per Linux.

L’aggiornamento risolve due importanti falle di sicurezza, la più grave delle quali il CVE-2025-10200. Questa vulnerabilità è classificata come critica e viene descritta come un bug “Use-after-free” nel componente Serviceworker.

Un difetto di tipo use-after-free si verifica quando un programma tenta di utilizzare la memoria dopo che questa è stata deallocata, il che può causare arresti anomali, danneggiamento dei dati o, nel peggiore dei casi, esecuzione di codice arbitrario.

Il ricercatore di sicurezza Looben Yang ha segnalato questa falla critica il 22 agosto 2025. In riconoscimento della gravità della scoperta, Google ha assegnato una ricompensa di 43.000 dollari per il bug scoperto.

La seconda vulnerabilità corretta in questa versione è CVE-2025-10201, un difetto di elevata gravità identificato come “Implementazione inappropriata in Mojo”. Mojo è una raccolta di librerie runtime utilizzate per la comunicazione tra processi all’interno di Chromium, il progetto open source alla base di Chrome.

La seconda vulnerabilità è stata segnalata da Sahan Fernando e da un ricercatore anonimo il 18 agosto 2025. Ai reporter è stata assegnata una ricompensa di 30.000 dollari per le loro scoperte.

I difetti di questo componente possono essere particolarmente pericolosi in quanto possono compromettere potenzialmente la sandbox del browser, una funzionalità di sicurezza fondamentale che isola i processi per impedire che gli exploit influenzino il sistema sottostante.

Google sta distribuendo l’aggiornamento gradualmente, ma gli utenti possono verificarne manualmente la presenza e applicarlo andando su Impostazioni > Informazioni su Google Chrome.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks