Redazione RHC : 24 Settembre 2025 15:44
Gli Stati Uniti hanno ricevuto un’allerta dalla Cybersecurity and Infrastructure Security Agency (CISA) in merito ad una falla zero-day di alta criticità presente in Google Chrome, attualmente oggetto di sfruttamento in attacchi in corso.
In risposta allo sfruttamento attivo, la CISA ha ordinato alle agenzie del ramo esecutivo civile federale (FCEB) di applicare gli aggiornamenti di sicurezza necessari entro il 14 ottobre 2025, in conformità con la direttiva operativa vincolante (BOD) 22-01.
Una vulnerabilità, contrassegnata come CVE-2025-10585, è stata inserita nella lista delle vulnerabilità sfruttate note (KEV) dall’agenzia CISA, evidenziando l’immediata necessità di un intervento urgente da parte degli utenti e degli amministratori. Google ha confermato di essere a conoscenza dell’esistenza di un exploit per questa falla e ha rilasciato aggiornamenti di sicurezza per affrontare la minaccia.
 Prova la Demo di Business Log! Adaptive SOC italiano Log management non solo per la grande Azienda, ma una suite di Audit file, controllo USB, asset, sicurezza e un Security Operation Center PERSONALE, che ti riporta tutte le operazioni necessarie al tuo PC per tutelare i tuoi dati e informati in caso di problemi nel tuo ambiente privato o di lavoro.
Scarica ora la Demo di Business Log per 30gg
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Una falla di type confusione nel motore JavaScript e WebAssembly V8 di Chrome dà luogo alla vulnerabilità. Quando un programma prova ad accedere ad una risorsa con un tipo non compatibile si verifica un errore di confusione di tipi, noto come CWE-843, il quale comporta un’errata interpretazione dei dati. Ciò può causare la corruzione della memoria, che un aggressore può sfruttare per bloccare il browser o, cosa ancora più grave, eseguire codice arbitrario sul sistema interessato.
La falla è stata scoperta e segnalata dal Threat Analysis Group (TAG) di Google il 16 settembre 2025. Sebbene Google non abbia divulgato dettagli tecnici sugli attacchi specifici o sugli autori della minaccia coinvolti, si tratta di una pratica standard per impedire uno sfruttamento più ampio prima che gli utenti abbiano la possibilità di applicare le patch necessarie.
Si tratta della sesta vulnerabilità zero-day di Chrome sfruttata attivamente nel 2025, evidenziando una tendenza persistente degli aggressori a prendere di mira le vulnerabilità del browser. Nel 2025, Google ha risolto diverse vulnerabilità zero-day nel suo browser web Chrome, che erano state attivamente sfruttate. Queste falle richiedevano aggiornamenti urgenti per proteggere gli utenti da potenziali attacchi.
Sebbene questa direttiva sia obbligatoria per le agenzie federali, la CISA esorta vivamente tutte le organizzazioni e i singoli utenti a dare priorità all’applicazione di patch ai propri sistemi per difendersi da potenziali attacchi. Gli utenti possono avviare l’aggiornamento accedendo al menu di Chrome, selezionando “Guida” e poi “Informazioni su Google Chrome”, che avvierà un controllo automatico e l’installazione della versione più recente.
Si consiglia inoltre agli utenti di altri browser basati su Chromium, come Microsoft Edge, Brave, Opera e Vivaldi, di installare gli aggiornamenti di sicurezza non appena disponibili dai rispettivi fornitori.
RedazioneIl CEO di NVIDIA, Jen-Hsun Huang, oggi supervisiona direttamente 36 collaboratori suddivisi in sette aree chiave: strategia, hardware, software, intelligenza artificiale, pubbliche relazioni, networki...
OpenAI ha presentato Aardvark, un assistente autonomo basato sul modello GPT-5 , progettato per individuare e correggere automaticamente le vulnerabilità nel codice software. Questo strumento di inte...
Analisi RHC sulla rete “BHS Links” e sulle infrastrutture globali di Black Hat SEO automatizzato Un’analisi interna di Red Hot Cyber sul proprio dominio ha portato alla luce una rete globale di ...
Abbiamo recentemente pubblicato un approfondimento sul “furto del secolo” al Louvre, nel quale sottolineavamo come la sicurezza fisica – accessi, controllo ambientale, vigilanza – sia oggi str...
Una nuova e insidiosa campagna di phishing sta colpendo i cittadini lombardi. I truffatori inviano e-mail che sembrano provenire da una presunta agenzia di recupero crediti, chiedendo il pagamento di ...
