Google Chrome: patch urgente per zero-day use-after-free in CSS sfruttato.
Google Chrome rilascia patch d'emergenza per la vulnerabilità zero-day CVE-2026-2441, già sfruttata. Il modello di business alimenta rischi.
Questo ennesimo aggiornamento di emergenza, per una vulnerabilità già sfruttata, solleva interrogativi sul modello di sviluppo di Chrome e sul suo impatto sulla sicurezza degli utenti.
Un altro giorno, un altro aggiornamento di sicurezza critico per Google Chrome. Il 13 febbraio 2026, l’azienda di Mountain View ha rilasciato una patch d’emergenza per una vulnerabilità zero-day di alta gravità, identificata come CVE-2026-2441. Secondo l’annuncio ufficiale, si tratta di una vulnerabilità use-after-free nel componente CSS del browser. La nota più preoccupante, però, è un’altra: Google è a conoscenza del fatto che un exploit per CVE-2026-2441 esiste già allo stato brado.
In parole povere, gli hacker la stanno già usando.
L’aggiornamento è stato rilasciato appena due giorni dopo che la ricercatrice di sicurezza Shaheen Fazim ha segnalato la vulnerabilità a Google l’11 febbraio 2026, un tempismo che evidenzia l’urgenza della situazione.
Ma dietro questa ennesima corsa ai ripari si nasconde una domanda più ampia e scomoda: perché il browser più usato al mondo, con miliardi di utenti, continua a essere un bersaglio così prolifico per attacchi zero-day?
E, soprattutto, chi ci guadagna davvero da questo ciclo perpetuo di vulnerabilità e patch?
Un modello di business che genera vulnerabilità
Per capire il contesto, bisogna guardare al ritmo frenetico con cui Chrome evolve. Google ha spinto per anni un modello di sviluppo e aggiornamento estremamente aggressivo. Come spiegato in un post del 2023, Chrome rilascia una nuova milestone ogni quattro settimane e aggiornamenti del canale stabile settimanali per risolvere bug di sicurezza e altri problemi ad alto impatto. Questo ritmo settimanale, iniziato con Chrome 116, ha ridotto il tempo medio per distribuire una patch a circa 3,5 giorni. Prima di Chrome 77, il “patch gap” medio era di 35 giorni.
Sulla carta, è un miglioramento.
Nella pratica, però, questa corsa continua all’innovazione – con l’aggiunta costante di nuove funzionalità, API sperimentali e integrazioni sempre più profonde con i servizi Google – espone costantemente la superficie d’attacco del browser. Ogni nuova riga di codice, ogni nuova feature come l’integrazione AI o le API grafiche avanzate, è un potenziale nuovo bug.
L’aggiornamento di Chrome 145, rilasciato solo tre giorni prima della patch d’emergenza, includeva già 11 correzioni di sicurezza, tra cui una per un’altra vulnerabilità use-after-free in CSS.
Sembra quasi che si corra per tappare una falla mentre se ne stanno già aprendo altre dieci.
Il sistema di gestione della sicurezza di Google è certamente sofisticato. Il team di sicurezza di ChromeOS mantiene una rotazione per la gestione delle vulnerabilità per valutare i bug di sicurezza in arrivo e risolverli secondo linee guida di severità. Ogni turno di rotazione dura una settimana. Ma questa macchina perfettamente oliata è costretta a operare in un ecosistema che lei stessa contribuisce a rendere insicuro, spinto dalla necessità commerciale di mantenere il dominio del mercato e di integrare sempre più servizi.
Google is aware that an exploit for CVE-2026-2441 exists in the wild.
— Google Chrome Releases Blog
Il lato oscuro della “gratuità”: dati e dipendenza
Chrome è gratuito. Ma come sappiamo, nel mondo del tech, se non paghi il prodotto, molto spesso il prodotto sei tu. La posizione dominante di Chrome – si stima che abbia tra i 3,4 e i 3,8 miliardi di utenti – lo rende il gatekeeper principale per l’accesso al web. Questo conferisce a Google un potere immenso: definisce gli standard web, controlla il flusso di dati e, non da ultimo, ha un interesse vitale a mantenere gli utenti all’interno del suo ecosistema.
Ogni vulnerabilità critica come la CVE-2026-2441, che consente a un attaccante remoto di eseguire codice arbitrario all’interno della sandbox tramite una pagina HTML manipolata, è un attacco a questa fiducia.
Eppure, l’alternativa per l’utente medio è spesso inesistente. Migrare anni di segnalibri, password salvate, abitudini e estensioni su un altro browser è un costo proibitivo. Google lo sa.
Questa lock-in è il vero muro di cinta del suo giardino.
La dipendenza da Chrome diventa poi un moltiplicatore di rischio a livello di sicurezza nazionale e geopolitica. I rapporti di intelligence prevedono che gli attori statali, come la Cina, continueranno a privilegiare operazioni cibernetiche stealth, prendendo di mira dispositivi edge e sfruttando vulnerabilità zero-day. Un browser onnipresente è il vettore di attacco ideale.
Quando una singola vulnerabilità in CSS può compromettere potenzialmente miliardi di dispositivi, siamo di fronte a un rischio sistemico.
La domanda è: un’azienda privata, per quanto benintenzionata, può e deve essere l’unico baluardo contro minacce di questa portata?
La corsa agli armamenti e il paradosso della trasparenza
Google investe cifre enormi in sicurezza. Strumenti come AddressSanitizer e team dedicati lavorano per individuare bug prima che finiscano nella versione stabile. Google utilizza strumenti come AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer e AFL per rilevare i bug. Ma è una corsa agli armamenti contro se stessa e contro avversari sempre più finanziati.
C’è poi un paradosso nella trasparenza. Google, giustamente, limita l’accesso ai dettagli dei bug fino a quando la maggior parte degli utenti non si è aggiornata. Tuttavia, questo significa che la comunità della sicurezza indipendente non può analizzare appieno la falla per aiutare a proteggere altri software o per valutare l’entità reale dell’attacco.
Gli utenti ricevono un avviso vago di “aggiornare immediatamente”, ma raramente comprendono la reale portata della minaccia.
Chi è stato colpito? Per fare cosa?
Sono domande che spesso rimangono senza risposta, lasciando un senso di opacità e di fiducia cieca nell’unica entità che ha tutte le informazioni: Google.
Alla fine, il cerchio si chiude. Una vulnerabilità viene scoperta, Google corre ai ripari, gli utenti aggiornano (si spera), e il mondo celebra l’efficienza del sistema. Ma il modello di business che richiede un browser sempre più complesso e integrato non cambia. Il programma di ricompense per le vulnerabilità paga i ricercatori, ma non affronta la radice del problema.
Gli utenti, intrappolati in un ecosistema di comodità, pagano con i loro dati e la loro sicurezza, mentre la prossima CVE-2026-XXXX è già in incubazione da qualche parte, nel codice di una nuova funzionalità annunciata con grande clamore.
La domanda allora non è se ci sarà un altro aggiornamento di emergenza, ma quando – e se, prima o poi, il costo di questo ciclo perpetuo diventerà troppo alto per tutti.
