zero-day Archivi - Italia Globale

Google ha annunciato il rilascio di un aggiornamento critico di sicurezza per il browser Chrome, volto a correggere una nuova vulnerabilità zero-day attivamente sfruttata, identificata come CVE-2025-6554. Si tratta del quarto exploit zero-day individuato e corretto da Google nel corso del 2025. Cosa sappiamo sulla vulnerabilità CVE-2025-6554 Il problema riguarda una falla di tipo "confusione" nel motore JavaScript V8 di Chrome, una vulnerabilità di gravità elevata che potrebbe consentire a un attaccante di eseguire codice arbitrario o manipolare la memoria al di fuori dei limiti sicuri. Scoperta da Clément Lecigne del Threat Analysis Group (TAG) di Google, questa vulnerabilità è stata attivamente sfruttata in attacchi mirati, anche se, come dichiarato da Google, non sono ancora disponibili dettagli tecnici per evitare ulteriori abusi prima della distribuzione completa della patch. Aggiornamenti già disponibili su tutte le piattaforme L’aggiornamento è già stato reso disponibile per gli utenti Chrome su: Windows: versioni 138.0.7204.96/.97 macOS: versioni 138.0.7204.92/.93 Linux: versione 138.0.7204.96 Google ha affermato che la distribuzione sarà progressiva, ma chi vuole proteggersi subito può forzare l’aggiornamento tramite il menu di impostazioni di Chrome. Chi c’è dietro la scoperta: il ruolo del Google TAG Il Threat Analysis Group di Google è un team specializzato nella protezione degli utenti contro minacce sponsorizzate da stati, spyware e attacchi zero-day avanzati. Secondo MIT Technology Review, questo gruppo è stato responsabile di diverse scoperte cruciali nel panorama della cybersicurezza globale. Tra i target abituali degli attacchi rilevati dal TAG figurano: Giornalisti Attivisti per i diritti umani Membri dell’opposizione politica Enti governativi Precedenti vulnerabilità zero-day nel 2025: un anno critico Questa nuova falla rappresenta il quarto zero-day di Chrome risolto solo nel 2025, dopo: CVE-2025-2783 (marzo): vulnerabilità sandbox usata per attacchi di spionaggio, scoperta da Kaspersky CVE-2025-4664 (maggio): exploit per furto di account utente CVE-2025-5802 (giugno): lettura/scrittura fuori limite, ancora nel motore V8 Nel 2024, Google aveva già corretto 10 zero-day noti, molti dei quali dimostrati anche in eventi come Pwn2Own. Perché gli aggiornamenti zero-day sono così importanti Un attacco zero-day sfrutta falle non ancora note o corrette al momento dell’attacco. Questo rende il tempo di risposta critico per la sicurezza dei dispositivi e dei dati personali. "Un browser non aggiornato può essere compromesso in pochi secondi", sottolinea CISA (Cybersecurity & Infrastructure Security Agency). Per questo motivo è fortemente consigliato aggiornare immediatamente Chrome, specialmente su dispositivi sensibili o aziendali. Come proteggersi: 3 azioni rapide per tutti gli utenti Chrome Aggiorna subito Chrome: vai su Impostazioni → Guida → Informazioni su Google Chrome Evita estensioni sconosciute e aggiorna quelle installate Attiva protezione avanzata nella sezione “Privacy e Sicurezza” del browser Fonti autorevoli citate: CISA – Cybersecurity Agency