Redazione RHC : 24 Settembre 2025 15:44
Gli Stati Uniti hanno ricevuto un’allerta dalla Cybersecurity and Infrastructure Security Agency (CISA) in merito ad una falla zero-day di alta criticità presente in Google Chrome, attualmente oggetto di sfruttamento in attacchi in corso.
In risposta allo sfruttamento attivo, la CISA ha ordinato alle agenzie del ramo esecutivo civile federale (FCEB) di applicare gli aggiornamenti di sicurezza necessari entro il 14 ottobre 2025, in conformità con la direttiva operativa vincolante (BOD) 22-01.
Una vulnerabilità, contrassegnata come CVE-2025-10585, è stata inserita nella lista delle vulnerabilità sfruttate note (KEV) dall’agenzia CISA, evidenziando l’immediata necessità di un intervento urgente da parte degli utenti e degli amministratori. Google ha confermato di essere a conoscenza dell’esistenza di un exploit per questa falla e ha rilasciato aggiornamenti di sicurezza per affrontare la minaccia.
 CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub.
Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Una falla di type confusione nel motore JavaScript e WebAssembly V8 di Chrome dà luogo alla vulnerabilità. Quando un programma prova ad accedere ad una risorsa con un tipo non compatibile si verifica un errore di confusione di tipi, noto come CWE-843, il quale comporta un’errata interpretazione dei dati. Ciò può causare la corruzione della memoria, che un aggressore può sfruttare per bloccare il browser o, cosa ancora più grave, eseguire codice arbitrario sul sistema interessato.
La falla è stata scoperta e segnalata dal Threat Analysis Group (TAG) di Google il 16 settembre 2025. Sebbene Google non abbia divulgato dettagli tecnici sugli attacchi specifici o sugli autori della minaccia coinvolti, si tratta di una pratica standard per impedire uno sfruttamento più ampio prima che gli utenti abbiano la possibilità di applicare le patch necessarie.
Si tratta della sesta vulnerabilità zero-day di Chrome sfruttata attivamente nel 2025, evidenziando una tendenza persistente degli aggressori a prendere di mira le vulnerabilità del browser. Nel 2025, Google ha risolto diverse vulnerabilità zero-day nel suo browser web Chrome, che erano state attivamente sfruttate. Queste falle richiedevano aggiornamenti urgenti per proteggere gli utenti da potenziali attacchi.
Sebbene questa direttiva sia obbligatoria per le agenzie federali, la CISA esorta vivamente tutte le organizzazioni e i singoli utenti a dare priorità all’applicazione di patch ai propri sistemi per difendersi da potenziali attacchi. Gli utenti possono avviare l’aggiornamento accedendo al menu di Chrome, selezionando “Guida” e poi “Informazioni su Google Chrome”, che avvierà un controllo automatico e l’installazione della versione più recente.
Si consiglia inoltre agli utenti di altri browser basati su Chromium, come Microsoft Edge, Brave, Opera e Vivaldi, di installare gli aggiornamenti di sicurezza non appena disponibili dai rispettivi fornitori.
RedazioneAnthropic ha rilasciato Claude Opus 4.5 , il suo nuovo modello di punta, che, secondo l’azienda, è la versione più potente finora rilasciata e si posiziona al vertice della categoria nella program...
Il lavoro da remoto, ha dato libertà ai dipendenti, ma con essa è arrivata anche la sorveglianza digitale. Ne abbiamo parlato qualche tempo fa in un articolo riportando che tali strumenti di monitor...
ROMA – La profonda crisi istituzionale che ha investito l’Autorità Garante per la Protezione dei Dati Personali ha spinto Guido Scorza, componente del Collegio, a un intervento pubblico mirato a ...
Negli ultimi anni, il panorama della sicurezza informatica in Italia ha visto una preoccupante escalation di attacchi, con un aumento significativo dei crimini informatici. Un fenomeno particolarmente...
Quest’autunno, abbiamo avuto un bel po’ di grattacapi con il cloud, non so se ci avete fatto caso. Cioè, AWS, Azure, e dopo Cloudflare. Tutti giù, uno dopo l’altro. Una sfilza di interruzioni ...
