Google ha annunciato il rilascio di un aggiornamento critico di sicurezza per il browser Chrome, volto a correggere una nuova vulnerabilità zero-day attivamente sfruttata, identificata come CVE-2025-6554. Si tratta del quarto exploit zero-day individuato e corretto da Google nel corso del 2025.
Cosa sappiamo sulla vulnerabilità CVE-2025-6554
Il problema riguarda una falla di tipo “confusione” nel motore JavaScript V8 di Chrome, una vulnerabilità di gravità elevata che potrebbe consentire a un attaccante di eseguire codice arbitrario o manipolare la memoria al di fuori dei limiti sicuri.
Scoperta da Clément Lecigne del Threat Analysis Group (TAG) di Google, questa vulnerabilità è stata attivamente sfruttata in attacchi mirati, anche se, come dichiarato da Google, non sono ancora disponibili dettagli tecnici per evitare ulteriori abusi prima della distribuzione completa della patch.
- Windows 11: Il Bug di Ottobre Che “Congela” Mouse e Tastiera in WinRE
- Allarme Sicurezza Chrome: Aggiorna Subito per Proteggere i Tuoi Dati!
- Google Chrome potenziato con Gemini Nano: ora rileva truffe in tempo reale grazie all’IA locale
Aggiornamenti già disponibili su tutte le piattaforme
L’aggiornamento è già stato reso disponibile per gli utenti Chrome su:
- Windows: versioni 138.0.7204.96/.97
- macOS: versioni 138.0.7204.92/.93
- Linux: versione 138.0.7204.96
Google ha affermato che la distribuzione sarà progressiva, ma chi vuole proteggersi subito può forzare l’aggiornamento tramite il menu di impostazioni di Chrome.
Chi c’è dietro la scoperta: il ruolo del Google TAG
Il Threat Analysis Group di Google è un team specializzato nella protezione degli utenti contro minacce sponsorizzate da stati, spyware e attacchi zero-day avanzati. Secondo MIT Technology Review, questo gruppo è stato responsabile di diverse scoperte cruciali nel panorama della cybersicurezza globale.
Tra i target abituali degli attacchi rilevati dal TAG figurano:
- Giornalisti
- Attivisti per i diritti umani
- Membri dell’opposizione politica
- Enti governativi
Precedenti vulnerabilità zero-day nel 2025: un anno critico
Questa nuova falla rappresenta il quarto zero-day di Chrome risolto solo nel 2025, dopo:
- CVE-2025-2783 (marzo): vulnerabilità sandbox usata per attacchi di spionaggio, scoperta da Kaspersky
- CVE-2025-4664 (maggio): exploit per furto di account utente
- CVE-2025-5802 (giugno): lettura/scrittura fuori limite, ancora nel motore V8
Nel 2024, Google aveva già corretto 10 zero-day noti, molti dei quali dimostrati anche in eventi come Pwn2Own.
Perché gli aggiornamenti zero-day sono così importanti
Un attacco zero-day sfrutta falle non ancora note o corrette al momento dell’attacco. Questo rende il tempo di risposta critico per la sicurezza dei dispositivi e dei dati personali.
“Un browser non aggiornato può essere compromesso in pochi secondi”, sottolinea CISA (Cybersecurity & Infrastructure Security Agency).
Per questo motivo è fortemente consigliato aggiornare immediatamente Chrome, specialmente su dispositivi sensibili o aziendali.
Come proteggersi: 3 azioni rapide per tutti gli utenti Chrome
- Aggiorna subito Chrome: vai su Impostazioni → Guida → Informazioni su Google Chrome
- Evita estensioni sconosciute e aggiorna quelle installate
- Attiva protezione avanzata nella sezione “Privacy e Sicurezza” del browser
