Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Google ha corretto la vulnerabilità zero-day CVE-2026-5281 in Chrome, già sfruttata in attacchi reali. Il bug, un use-after-free nella componente Dawn legata a WebGPU, può consentire esecuzione di codice e bypass della sandbox del browser. L’aggiornamento risolve complessivamente 21 falle, molte ad alta gravità. Si tratta del quarto zero-day corretto nel 2026, segnale di una pressione crescente sul browser più utilizzato a livello globale.
Gli sviluppatori di Google hanno rilasciato un aggiornamento di emergenza per il browser Chrome che corregge la vulnerabilità zero-day CVE-2026-5281, già sfruttata in attacchi attivi.
La vulnerabilità, identificata come CVE-2026-5281, è correlata a un errore di tipo use-after-free in Dawn, un’implementazione multipiattaforma dello standard WebGPU utilizzata da Chromium. Tali bug possono causare arresti anomali del browser, danneggiamento dei dati, problemi di rendering e altri comportamenti anomali.
In pratica, queste vulnerabilità vengono spesso sfruttate per eludere una sandbox o eseguire del codice arbitrario. “Google ha appreso che la vulnerabilità CVE-2026-5281 è già utilizzata in attacchi reali”, si legge nel bollettino di sicurezza dell’azienda .
Google non ha ancora rilasciato specifici dettagli tecnici sugli attacchi. L’azienda, per tradizione, non divulga i dettagli di un problema finché la maggior parte degli utenti non ha installato la patch. Restrizioni simili si applicano anche se la vulnerabilità interessa librerie di terze parti da cui dipendono altri progetti.
La più recente vulnerabilità zero-day è stata scoperta da un ricercatore anonimo, il quale ha anche individuato un’altra vulnerabilità use-after-free ad alta gravità in Dawn (CVE-2026-5284). Tuttavia, questo bug non sembra essere stato sfruttato in attacchi reali.
Complessivamente, l’aggiornamento rilasciato per Chrome corregge 21 vulnerabilità, tra cui 19 di elevata gravità e due di gravità moderata. Le versioni corrette sono già disponibili nel canale Stable Desktop: 146.0.7680.177/178 per Windows e macOS e 146.0.7680.177 per Linux.
Questa vulnerabilità zero-day in Chrome. è la quarta ad essere corretta questo anno. La prima è stato il CVE-2026-2441, un bug in CSSFontFeatureValuesMap, che è stato corretto a metà febbraio. Poi, a marzo, gli sviluppatori hanno corretto due vulnerabilità (CVE-2026-3909 e CVE-2026-3910) in V8 JavaScript e WebAssembly, nonché Skia, una libreria grafica 2D open source responsabile del rendering dei contenuti web e degli elementi dell’interfaccia utente in Chrome.
A titolo di confronto, Google ha corretto otto vulnerabilità zero-day in tutto il 2025, molte delle quali sono state scoperte dal Google Threat Analysis Group (TAG), un team specializzato nel rilevamento di spyware.
