Google Chrome: patch urgente per 0day sotto sfruttamento. Risolte vulnerabilità critiche

Un’immediata azione di sicurezza è stata intrapresa da Google per gli utenti del browser Chrome a livello globale, con l’obiettivo di risolvere quattro falle critiche, una delle quali, una vulnerabilità zero-day, è attualmente oggetto di sfruttamento attivo. Gli utenti sono perciò sollecitati a procedere con urgenza all’aggiornamento dei propri browser al fine di prevenire possibili attacchi informatici.

Un difetto di type confusion nel motore JavaScript V8 di Chrome rappresenta la vulnerabilità più preoccupante in questo aggiornamento di sicurezza, monitorato come CVE-2025-10585. La scoperta e la segnalazione di questa vulnerabilità sono state effettuate il 16 settembre 2025 dal Threat Analysis Group di Google. La debolezza in questione è già stata sfruttata in attacchi reali, come confermato dall’azienda, che ha messo in evidenza come gli aggressori stanno approfittando di questa falla.

• [NA][445380761] High CVE-2025-10585: Type Confusion in V8. Reported by Google Threat Analysis Group on 2025-09-16
• [$15000][435875050] High CVE-2025-10500: Use after free in Dawn. Reported by Giunash (Gyujeong Jin) on 2025-08-03
• [$10000][440737137] High CVE-2025-10501: Use after free in WebRTC. Reported by sherkito on 2025-08-23
• [TBD][438038775] High CVE-2025-10502: Heap buffer overflow in ANGLE. Reported by Google Big Sleep on 2025-08-12

Questo tipo di attacco non richiede alcuna interazione da parte dell’utente, se non quella di caricare una pagina web, il che lo rende particolarmente pericoloso per campagne di sfruttamento su larga scala.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

La vulnerabilità del motore V8 consente agli aggressori di eseguire codice dannoso sui computer delle vittime semplicemente inducendo gli utenti a visitare un sito Web compromesso contenente codice JavaScript appositamente creato.

Google ha recentemente rilasciato un aggiornamento per Chrome che, oltre a risolvere una vulnerabilità zero-day già sfruttata, affronta altre tre falle di sicurezza di alta gravità in grado di potenzialmente minare la stabilità del sistema. Una di queste vulnerabilità, catalogata come CVE-2025-10500, è una falla use-after-free presente nell’implementazione Dawn WebGPU, individuata dal ricercatore di sicurezza Giunash, al quale è stata riconosciuta una ricompensa di 15.000 dollari.

L’aggiornamento risolve anche un difetto di tipo use-after-free nei componenti WebRTC (CVE-2025-10501), segnalato dal ricercatore “sherkito” per una ricompensa di 10.000 dollari, e un overflow del buffer heap nel livello grafico ANGLE (CVE-2025-10502), identificato dal sistema automatizzato Big Sleep di Google.

Le versioni 140.0.7339.185/.186 di Chrome per Windows e Mac e 140.0.7339.185 per Linux sono ora disponibili a livello globale. Gli utenti devono aggiornare immediatamente i propri browser accedendo al menu delle impostazioni di Chrome e selezionando “Informazioni su Google Chrome” per attivare un controllo automatico degli aggiornamenti.

Gli esperti di sicurezza raccomandano alle organizzazioni di dare priorità agli aggiornamenti di Chrome sulle proprie reti e di valutare l’implementazione di ulteriori misure di sicurezza finché tutti i sistemi non saranno adeguatamente protetti da queste vulnerabilità.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.