Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Google ha rilasciato recentemente la versione stabile di Chrome 146 per Windows, macOS e Linux. L’aggiornamento è già in fase di distribuzione e, con la nuova build, l’azienda ha corretto 29 vulnerabilità, tra cui almeno una critica. Per gli utenti comuni, il messaggio è semplice: il browser ha ricevuto un’importante patch di sicurezza, quindi non c’è motivo di rimandare l’aggiornamento.
La nuova versione è stata rilasciata con i numeri 146.0.7680.71 per Linux e 146.0.7680.71/72 per Windows e Mac.
Google ha pagato ingenti somme ai ricercatori per le vulnerabilità scoperte. L’importo massimo finora erogato è stato di 43.000 dollari. Una scoperta critica in WebML ha fruttato ulteriori 33.000 dollari. L’entità della ricompensa riflette indirettamente la gravità che l’azienda attribuisce ai singoli bug.
Google ha pubblicato l’elenco completo delle modifiche sul blog di Chromium e ha promesso di pubblicare in seguito materiale separato sulle nuove funzionalità di Chrome 146 sui blog di Chrome e Chromium . Per ora, l’attenzione principale è rivolta alla sicurezza.
Secondo Google, l’aggiornamento include 29 correzioni di sicurezza. Ulteriori informazioni sull’approccio dell’azienda a questi aggiornamenti sono disponibili sulla pagina Sicurezza di Chrome.
La vulnerabilità più grave dell’elenco era la CVE-2026-3913, un errore critico di heap buffer overflow di un componente WebML. Questa classe di vulnerabilità comporta la corruzione della memoria e, in alcuni casi, può consentire l’esecuzione di codice dannoso.
Google ha subito fatto seguito con diverse vulnerabilità di elevata gravità che interessano anch’esse la memoria: CVE-2026-3914 , CVE-2026-3915 , CVE-2026-3916 , CVE-2026-3917 , CVE-2026-3918 , CVE-2026-3919 , CVE-2026-3920 , CVE-2026-3921 , CVE-2026-3922 , CVE-2026-3923 e CVE-2026-3924.
L’elenco comprende errori di tipo use-after-free, integer overflow, out-of-bounds read e altri errori che regolarmente diventano la base per attacchi ai browser.
WebML spicca in particolare: il modulo è presente in diverse vulnerabilità di alto e critico livello. Questo insieme di scoperte è particolarmente rilevante per Chrome, poiché gli errori di gestione della memoria sono tradizionalmente considerati tra i più pericolosi.
Google ha inoltre risolto problemi di medio e basso livello in V8, Skia, PDF, ChromeDriver, WebView, DevTools, Clipboard, Navigazione, Download e diversi meccanismi di interfaccia relativi alla visualizzazione degli avvisi di sicurezza. L’elenco comprende, in particolare, CVE-2026-3926 in V8, CVE-2026-3931 in Skia, CVE-2026-3932 e CVE-2026-3939 in PDF, CVE-2026-3934 in ChromeDriver, CVE-2026-3936 in WebView, CVE-2026-3938 in Clipboard, CVE-2026-3930 in Navigation e CVE-2026-3937 in Downloads. Alcune vulnerabilità non compromettevano direttamente la sicurezza, ma potevano indurre in errore l’utente tramite un’interfaccia errata o indebolire le politiche di sicurezza.
Google ha chiarito che i dettagli dei bug e i link alle segnalazioni potrebbero rimanere privati per il momento. L’azienda spesso non divulga i dettagli tecnici finché la maggior parte dei suoi utenti non ha installato le correzioni. Questo approccio è necessario per impedire ai malintenzionati di ricevere indizi preconfezionati in anticipo.
Per la Community di RHC, Chrome 146 dovrebbe essere installato il prima possibile.
Una volta che l’aggiornamento è disponibile, non ha senso rimandarlo, soprattutto considerando le numerose correzioni relative alla memoria e ai meccanismi di sicurezza.
