Zero-day Chrome: la falla CSS minaccia dati sensibili UE, patch rilasciata.
Google rilascia aggiornamento Chrome per falla zero-day CVE-2026-2441, già sfruttata. Rischio furto dati. Aggiorna subito.
La minaccia è un bug di tipo “use-after-free” nel componente CSS, una vulnerabilità “zero-day” identificata come CVE-2026-2441, che gli aggressori stanno già sfruttando attivamente per eseguire codice arbitrario.
Il browser che usiamo ogni giorno per navigare, lavorare e informarci è improvvisamente diventato un potenziale varco d’ingresso per chi vuole rubare i nostri dati.
Google ha rilasciato un aggiornamento di sicurezza d’emergenza per Chrome, il più diffuso al mondo, per tappare una falla critica che gli aggressori stanno già sfruttando attivamente.
Si chiama CVE-2026-2441, un nome in codice che nasconde una minaccia concreta: un bug di tipo “use-after-free” nel componente che gestisce il CSS, il linguaggio che dà forma e stile alle pagine web.
In pratica, visitando un sito web appositamente manipolato, un malintenzionato potrebbe eseguire codice arbitrario all’interno del browser.
La gravità è tale che il sistema di valutazione del National Vulnerability Database le assegna un punteggio di 8.8 su 10.
L’allarme è scattato il 13 febbraio, ma la corsa contro il tempo per proteggere gli utenti è appena iniziata.
La particolarità che fa rabbrividire gli esperti di sicurezza è che si tratta di uno “zero-day”.
Questo termine, uscito dai laboratori di ricerca per entrare nel lessico comune, indica una vulnerabilità sfruttata dagli hacker prima che il produttore del software ne sia a conoscenza e possa rilasciare una patch.
In questo caso, Google ha agito rapidamente dopo la segnalazione del ricercatore Shaheen Fazim, avvenuta l’11 febbraio.
Ma il fatto che un exploit per CVE-2026-2441 esista già “in the wild”, cioè in circolazione, significa che la finestra di rischio per milioni di utenti è stata reale e aperta per un periodo di tempo indeterminato.
L’aggiornamento che corregge il problema è incluso nelle versioni 145.0.7632.75/76 per Windows e macOS e nella 144.0.7559.75 per Linux.
Un controllo rapido nelle impostazioni di Chrome per verificare di avere almeno questi numeri è la prima, immediata contromisura che tutti dovremmo adottare.
Il tallone d’achille in un codice che dà forma al web
Ma cosa significa esattamente “use-after-free” nel CSS?
Immaginate il browser come un magazziniere super efficiente che, per rendere veloce la visualizzazione di una pagina, prende degli oggetti (in questo caso, risorse legate ai font e agli stili CSS), li usa e poi li ripone immediatamente per liberare memoria.
Il bug scoperto da Fazim fa sì che, in condizioni specifiche e malevole, il magazziniere vada a riprendere un oggetto che ha già messo via, credendo sia ancora disponibile.
Quel posto in memoria, però, nel frattempo potrebbe essere stato sovrascritto o alterato.
Il risultato è un comportamento imprevisto del browser che, nel peggiore dei casi, può essere pilotato da un attaccante remoto per eseguire codice dannoso.
È un errore di programmazione sottile, un cortocircuito logico nel motore di rendering che trasforma un compito routine – interpretare il design di una pagina – in un potenziale incubo per la sicurezza.
Questo non è un incidente isolato nel mondo di Chrome.
Solo nel 2025, Google ha dovuto correre ai ripari per ben otto zero-day diversi.
Tra questi, una vulnerabilità simile, la CVE-2025-13223, era un errore di “Type Confusion” nel motore V8, sempre con un punteggio CVSS di 8.8.
Un altro esempio è la CVE-2025-4664, che riguardava un’applicazione insufficiente dei criteri di sicurezza in un componente chiamato Loader.
Il pattern è chiaro: Chrome, con la sua complessità monumentale e il suo ruolo di piattaforma universale, è un obiettivo primario.
Ogni nuova funzionalità, ogni ottimizzazione per la velocità, ogni estensione dell’API è potenzialmente un nuovo anello della catena che può essere testato fino a rompersi.
Gli aggressori, spesso legati a campagne di spionaggio avanzato, dedicano risorse enormi proprio a questo scopo: trovare quella crepa prima degli altri.
Il sistema immunitario di Chrome: cacciatori di bug e taglie milionarie
Come si argina questa emorragia continua?
Google, consapevole di essere sotto costante assedio, ha costruito negli anni un sofisticato sistema immunitario.
La prima linea di difesa è il Vulnerability Rewards Program (VRP), un programma che paga ricercatori di sicurezza di tutto il mondo per trovare e segnalare bug.
È una strategia che trasforma potenziali nemici in alleati, incentivando una disclosure responsabile.
Le regole sono pubbliche: il VRP di Chrome offre ricompense per bug di sicurezza, concentrandosi su quelli ad impatto critico, alto e medio.
Non tutti i rapporti vengono pagati allo stesso modo: l’importo della ricompensa è influenzato dalla qualità del report, con moltiplicatori per rapporti di qualità eccezionale (1.5x), buona (1x) e bassa (0.5x).
L’investimento è significativo.
Nel 2024, Google ha rivisto completamente la struttura delle taglie, alzando la posta in gioco.
Un premio da lotteria che riflette il danno potenziale di tali vulnerabilità.
Shaheen Fazim, il ricercatore che ha stanato CVE-2026-2441, molto probabilmente riceverà un assegno sostanzioso, anche se l’importo esatto non è stato reso pubblico.
Questo ecosistema di “bug bounty” è diventato un pilastro fondamentale: nel 2024, Google ha distribuito 3,4 milioni di dollari a 137 ricercatori del solo programma Chrome.
È un mercato globale della sicurezza dove il talento individuale viene premiato e, in definitiva, tutti gli utenti ne traggono beneficio.
Tuttavia, questo modello solleva interrogativi non da poco.
Da un lato, premia l’eccellenza e contribuisce a un internet più sicuro.
Dall’altro, crea una curiosa economia parallela in cui lo stesso tipo di skill che potrebbe essere venduto per centinaia di migliaia di dollari sul mercato nero viene indirizzato verso il bene comune.
Quanto è sostenibile questa corsa agli armamenti finanziaria?
E, soprattutto, possiamo davvero sentirci al sicuro sapendo che la nostra protezione dipende dalla capacità di un gigante tech di attrarre e pagare meglio dei suoi avversari?
La patch per CVE-2026-2441 è uscita in tempi record, ma il silenzio di Google sui dettagli degli attacchi in corso – una scelta comprensibile per non dare vantaggi agli aggressori – lascia un alone di incertezza.
Chi è stato colpito?
Con quale scopo?
Sono domande senza risposta che ci ricordano come, nella guerra silenziosa del cyberspazio, la vittoria sia spesso solo temporanea.
Il prossimo zero-day è già in agguato da qualche parte, in una riga di codice non ancora scritta o in una funzione non ancora testata, e l’unica certezza è che la richiesta di aggiornare il browser non sarà l’ultima che vedremo.
