Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Gli aggiornamenti recenti di Chrome hanno corretto due vulnerabilità critiche (CVE-2026-9110 e CVE-2026-9111) che consentono l'esecuzione remota di codice. La CVE-9111 riguarda un exploit use-after-free in WebRTC, mentre la CVE-9110 coinvolge un problema nell'interfaccia utente Windows. L'aggiornamento è disponibile tramite canale automatico o manuale, e include correzioni per vulnerabilità gravi ma non per il bug 'Browser Fetch' trapelato in precedenza.
Google ha rilasciato aggiornamenti per il browser Chrome correggendo una serie di vulnerabilità di elevata gravità. L’aggiornamento include correzioni per due vulnerabilità critiche che possono essere utilizzate per l’esecuzione di codice in modalità remota semplicemente visitando un sito Web dannoso.
Il canale stabile è stato aggiornato a 148.0.7778.178/179 per Windows/Mac e 148.0.7778.178 per Linux, che verrà implementato nelle prossime settimane. Se non vuoi aspettare che arrivi il lancio, l’aggiornamento manuale è semplice.
Il modo più semplice per eseguire l’aggiornamento è consentire a Chrome di aggiornarsi automaticamente. Ma potresti rimanere indietro se non chiudi mai il browser o se qualcosa va storto, ad esempio un’estensione che impedisce l’aggiornamento.
Per aggiornare manualmente, fai clic sul menu Altro (tre punti), quindi vai su Impostazioni > Informazioni su Chrome. Se è disponibile un aggiornamento, Chrome inizierà a scaricarlo. Riavvia Chrome per completare l’aggiornamento e sarai protetto da queste vulnerabilità.
L’aggiornamento include correzioni per due vulnerabilità critiche:
CVE-2026-9111: è una vulnerabilità use-after-free in WebRTC ha consentito a un utente malintenzionato remoto di eseguire codice arbitrario su Linux tramite una pagina HTML predisposta. Use-after-free è una classe di vulnerabilità causata dall’uso errato della memoria dinamica durante il funzionamento di un programma. Se, dopo aver liberato una posizione di memoria, un programma non cancella il puntatore a quella memoria, un utente malintenzionato potrebbe essere in grado di utilizzare l’errore per manipolare il programma.
Pertanto, se un utente malintenzionato riesce a indurre un utente Linux ad aprire un file HTML dannoso o a visitare un sito Web appositamente predisposto, potrebbe compromettere il dispositivo.
CVE-2026-9110: si tratta di un’implementazione errata nell’interfaccia utente di Windows, la quale ha consentito a un utente malintenzionato remoto che aveva compromesso il processo di rendering di eseguire spoofing dell’interfaccia utente tramite una pagina HTML predisposta.
In pratica, ciò significava che, se un utente malintenzionato avesse già preso il controllo del motore di rendering interno del browser, avrebbe potuto ingannare il browser facendogli mostrare una finestra o una finestra di dialogo falsa che sembrava reale. Questa finestra falsa potrebbe, ad esempio, far sembrare che tu stia inserendo la tua password su un sito attendibile, anche se in realtà la stavi dando all’aggressore.
Per coloro che si aspettano che questo aggiornamento includa una correzione per il difetto “Browser Fetch” trapelato accidentalmente, questo sarà una delusione: non è stato così.
Per coloro che non l’hanno letto, da quando è stata segnalata 46 mesi fa, la vulnerabilità “Browser Fetch” è rimasta sconosciuta tranne che agli sviluppatori di Chromium. Quindi, il 20 maggio 2026, è stato pubblicato nel bug tracker di Chromium. Il ricercatore che inizialmente ha segnalato la vulnerabilità presumeva che fosse stata finalmente risolta.
Poco dopo, apprese che la patch non c’era, sebbene Google abbia rimosso il post, esso rimane disponibile sui siti di archivio, insieme al codice dell’exploit.
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]