Google paga gli hacker per la tranquillità di un prodotto sicuro: Chrome 144

Il browser Google Chrome è stato aggiornato alla versione 144 nel canale stabile, e questo è uno di quei casi in cui vale la pena installare l’aggiornamento non solo per le nuove funzionalità, ma anche per motivi di sicurezza. Il team di Google ha iniziato a distribuire la versione per Windows, macOS e Linux, quindi raggiungerà gradualmente la maggior parte degli utenti nei prossimi giorni.

Le build di Chrome 144.0.7559.59 per Linux e 144.0.7559.59/60 per Windows e Mac sono state rilasciate sul canale stabile. Come di consueto, l’aggiornamento include una serie di correzioni e miglioramenti, e il changelog completo è disponibile nel changelog. Google ha anche lasciato intendere che post dettagliati sulle nuove funzionalità e le principali modifiche incluse nella versione 144 saranno pubblicati in seguito sui blog di Chrome e Chromium.

La parte più importante della release è relativa alla sicurezza. Chrome 144 ha corretto 10 vulnerabilità e Google ha evidenziato specificamente questo dettaglio nelle note di rilascio, come tipico per questo tipo di release. I dettagli su alcuni bug e i link potrebbero essere temporaneamente nascosti finché l’aggiornamento non raggiungerà la maggior parte degli utenti, per rendere la vita più difficile a coloro che potrebbero tentare di sfruttare le vulnerabilità prima del rilascio di una patch diffusa. Le restrizioni potrebbero anche rimanere in vigore se il problema riguarda una libreria di terze parti da cui dipendono altri progetti e una correzione per tale libreria non è ancora stata rilasciata.

Tra le correzioni più gravi ci sono i problemi in V8 e Blink. Nello specifico, è stata corretta la vulnerabilità CVE-2026-0899 , relativa a una violazione di memoria fuori dai limiti nel motore JavaScript di V8. La ricompensa per chi ha scoperto questa vulnerabilità era di 8.000 dollari. Sono state identificate altre due vulnerabilità, CVE-2026-0900 e CVE-2026-0901. La prima riguarda anche V8 ed è stata scoperta da Google, mentre la seconda riguarda Blink e, secondo il rapporto, è stata scoperta nell’ottobre 2021. Dettagli e importi della ricompensa per questi due casi non sono ancora stati resi noti.

Anche le vulnerabilità di medio livello interessano principalmente il codice e la gestione dei dati. CVE-2026-0902 , descritta come un’implementazione errata nella versione 8, ha fruttato a un ricercatore 4.000 dollari. CVE-2026-0903 , relativa a una convalida insufficiente di input non attendibili nel meccanismo di caricamento, è stata scoperta da un ricercatore che ha ricevuto 3.000 dollari. Un altro bug di medio livello, CVE-2026-0904, riguarda la visualizzazione errata degli elementi dell’interfaccia di sicurezza nella funzionalità Credenziali digitali e ha ricevuto 1.000 dollari. CVE-2026-0905, anch’esso rilevato nel componente di rete, è un problema correlato a un’applicazione insufficiente delle policy. È stato scoperto anche da Google, ma la ricompensa non è stata ancora annunciata.

Esistono anche diverse vulnerabilità con punteggio basso che sono comunque preoccupanti perché riguardano l’interfaccia di sicurezza e potrebbero potenzialmente trarre in inganno gli utenti. Tra queste, CVE-2026-0906 e CVE-2026-0907 nonché CVE-2026-0908 in ANGLE, che riguarda una vulnerabilità use-after-free. La ricompensa per alcune di queste scoperte è nota , ad esempio 2.000 e 500 dollari, mentre per altre l’importo non è ancora stato annunciato.

Google ha ringraziato in particolare i ricercatori che hanno contribuito a individuare e risolvere i problemi durante il ciclo di sviluppo, impedendo il raggiungimento di una versione stabile. L’azienda ha inoltre sottolineato che una parte significativa dei bug viene identificata da strumenti automatizzati come AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity e fuzzer, tra cui libFuzzer e AFL.

Se hai abilitato gli aggiornamenti automatici, Chrome scaricherà automaticamente la nuova versione non appena sarà disponibile sul tuo dispositivo. Se installi gli aggiornamenti manualmente, è consigliabile verificarne la disponibilità il prima possibile, soprattutto perché alcune correzioni interessano componenti critici del browser.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.