Google ha annunciato il rilascio di un aggiornamento critico di sicurezza per il browser Chrome, volto a correggere una nuova vulnerabilità zero-day attivamente sfruttata, identificata come CVE-2025-6554. Si tratta del quarto exploit zero-day individuato e corretto da Google nel corso del 2025.
Cosa sappiamo sulla vulnerabilità CVE-2025-6554
Il problema riguarda una falla di tipo “confusione” nel motore JavaScript V8 di Chrome, una vulnerabilità di gravità elevata che potrebbe consentire a un attaccante di eseguire codice arbitrario o manipolare la memoria al di fuori dei limiti sicuri.
Scoperta da Clément Lecigne del Threat Analysis Group (TAG) di Google, questa vulnerabilità è stata attivamente sfruttata in attacchi mirati, anche se, come dichiarato da Google, non sono ancora disponibili dettagli tecnici per evitare ulteriori abusi prima della distribuzione completa della patch.
Aggiornamenti già disponibili su tutte le piattaforme
L’aggiornamento è già stato reso disponibile per gli utenti Chrome su:
- Windows: versioni 138.0.7204.96/.97
- macOS: versioni 138.0.7204.92/.93
- Linux: versione 138.0.7204.96
Google ha affermato che la distribuzione sarà progressiva, ma chi vuole proteggersi subito può forzare l’aggiornamento tramite il menu di impostazioni di Chrome.
Chi c’è dietro la scoperta: il ruolo del Google TAG
Il Threat Analysis Group di Google è un team specializzato nella protezione degli utenti contro minacce sponsorizzate da stati, spyware e attacchi zero-day avanzati. Secondo MIT Technology Review, questo gruppo è stato responsabile di diverse scoperte cruciali nel panorama della cybersicurezza globale.
Tra i target abituali degli attacchi rilevati dal TAG figurano:
- Giornalisti
- Attivisti per i diritti umani
- Membri dell’opposizione politica
- Enti governativi
Precedenti vulnerabilità zero-day nel 2025: un anno critico
Questa nuova falla rappresenta il quarto zero-day di Chrome risolto solo nel 2025, dopo:
- CVE-2025-2783 (marzo): vulnerabilità sandbox usata per attacchi di spionaggio, scoperta da Kaspersky
- CVE-2025-4664 (maggio): exploit per furto di account utente
- CVE-2025-5802 (giugno): lettura/scrittura fuori limite, ancora nel motore V8
Nel 2024, Google aveva già corretto 10 zero-day noti, molti dei quali dimostrati anche in eventi come Pwn2Own.
Perché gli aggiornamenti zero-day sono così importanti
Un attacco zero-day sfrutta falle non ancora note o corrette al momento dell’attacco. Questo rende il tempo di risposta critico per la sicurezza dei dispositivi e dei dati personali.
“Un browser non aggiornato può essere compromesso in pochi secondi”, sottolinea CISA (Cybersecurity & Infrastructure Security Agency).
Per questo motivo è fortemente consigliato aggiornare immediatamente Chrome, specialmente su dispositivi sensibili o aziendali.
Come proteggersi: 3 azioni rapide per tutti gli utenti Chrome
- Aggiorna subito Chrome: vai su Impostazioni → Guida → Informazioni su Google Chrome
- Evita estensioni sconosciute e aggiorna quelle installate
- Attiva protezione avanzata nella sezione “Privacy e Sicurezza” del browser
Fonti autorevoli citate:
Autore e articolista con una passione per l’informazione chiara, verificata e accessibile. Scrivo per aiutare i lettori a orientarsi tra notizie, approfondimenti e curiosità che contano davvero. Mi occupo di attualità, tecnologia, cultura digitale e tutto ciò che ha un impatto reale sul nostro quotidiano. Il mio obiettivo? Offrire contenuti utili, ben documentati e scritti con un linguaggio semplice ma autorevole.
