Vulnerabilità Zero-Day in Google Chrome: il CISA Avverte e inserisce il bug su KEV

Gli Stati Uniti hanno ricevuto un’allerta dalla Cybersecurity and Infrastructure Security Agency (CISA) in merito ad una falla zero-day di alta criticità presente in Google Chrome, attualmente oggetto di sfruttamento in attacchi in corso.

In risposta allo sfruttamento attivo, la CISA ha ordinato alle agenzie del ramo esecutivo civile federale (FCEB) di applicare gli aggiornamenti di sicurezza necessari entro il 14 ottobre 2025, in conformità con la direttiva operativa vincolante (BOD) 22-01.

Una vulnerabilità, contrassegnata come CVE-2025-10585, è stata inserita nella lista delle vulnerabilità sfruttate note (KEV) dall’agenzia CISA, evidenziando l’immediata necessità di un intervento urgente da parte degli utenti e degli amministratori. Google ha confermato di essere a conoscenza dell’esistenza di un exploit per questa falla e ha rilasciato aggiornamenti di sicurezza per affrontare la minaccia.

Una falla di type confusione nel motore JavaScript e WebAssembly V8 di Chrome dà luogo alla vulnerabilità. Quando un programma prova ad accedere ad una risorsa con un tipo non compatibile si verifica un errore di confusione di tipi, noto come CWE-843, il quale comporta un’errata interpretazione dei dati. Ciò può causare la corruzione della memoria, che un aggressore può sfruttare per bloccare il browser o, cosa ancora più grave, eseguire codice arbitrario sul sistema interessato.

La falla è stata scoperta e segnalata dal Threat Analysis Group (TAG) di Google il 16 settembre 2025. Sebbene Google non abbia divulgato dettagli tecnici sugli attacchi specifici o sugli autori della minaccia coinvolti, si tratta di una pratica standard per impedire uno sfruttamento più ampio prima che gli utenti abbiano la possibilità di applicare le patch necessarie.

Si tratta della sesta vulnerabilità zero-day di Chrome sfruttata attivamente nel 2025, evidenziando una tendenza persistente degli aggressori a prendere di mira le vulnerabilità del browser. Nel 2025, Google ha risolto diverse vulnerabilità zero-day nel suo browser web Chrome, che erano state attivamente sfruttate. Queste falle richiedevano aggiornamenti urgenti per proteggere gli utenti da potenziali attacchi.

Sebbene questa direttiva sia obbligatoria per le agenzie federali, la CISA esorta vivamente tutte le organizzazioni e i singoli utenti a dare priorità all’applicazione di patch ai propri sistemi per difendersi da potenziali attacchi. Gli utenti possono avviare l’aggiornamento accedendo al menu di Chrome, selezionando “Guida” e poi “Informazioni su Google Chrome”, che avvierà un controllo automatico e l’installazione della versione più recente.

Si consiglia inoltre agli utenti di altri browser basati su Chromium, come Microsoft Edge, Brave, Opera e Vivaldi, di installare gli aggiornamenti di sicurezza non appena disponibili dai rispettivi fornitori.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks