Chrome Colpito Ancora: Google Risolve il Quarto Exploit Zero-Day nel 2025

Google ha rilasciato un aggiornamento di sicurezza urgente per Chrome lunedì per affrontare una vulnerabilità zero-day attivamente sfruttata che stava colpendo gli utenti di Windows e Mac in tutto il mondo. Questo è il quarto zero-day di Chrome risolto dall’inizio del 2025.

La vulnerabilità zero-day, tracciata come CVE-2025-6554, è stata descritta come un bug di “confusione di tipo” di alta gravità nella V8 JavaScript e nel motore WebAssembly di Chrome.

Clement Lecigne, un ricercatore di sicurezza del Threat Analysis Group (TAG) di Google, che ha segnalato la vulnerabilità zero-day il 25 giugno 2025, è stato accreditato per la scoperta e la segnalazione. Il TAG è noto per aver scoperto attacchi sofisticati legati ad attori statali.

Qual è la vulnerabilità?

I difetti di confusione di tipo in V8, il motore JavaScript di Chrome, si verificano quando il browser si confonde riguardo al tipo di dati che sta gestendo. Può causare a Chrome di interpretare erroneamente la memoria, aprendo la porta a letture/scritture arbitrarie e, in alcuni casi, all’esecuzione di codice remoto completo (RCE).

Questo errore può consentire agli hacker di accedere a parti di memoria che non dovrebbero, il che potrebbe permettere loro di eseguire codice dannoso o far crashare il browser.

“Google è a conoscenza che un exploit per CVE-2025-6554 esiste nel mondo reale,” ha dichiarato il gigante tecnologico in un avviso di sicurezza emesso lunedì.

Secondo il National Vulnerability Database (NVD), questo difetto impatta le versioni di Chrome precedenti alla 138.0.7204.96 e potrebbe consentire agli attaccanti di eseguire codice malevolo o causare il crash dell’applicazione.

Misure di mitigazione

Google ha implementato una mitigazione temporanea sul lato server il 26 giugno 2025, tramite il canale stabile di Chrome per risolvere la vulnerabilità zero-day. L’azienda ha rilasciato una patch completa per gli utenti di Chrome nel canale Stable Desktop: Windows (138.0.7204.96/.97), Mac (138.0.7204.92/.93) e utenti Linux (138.0.7204.96).

“L’accesso ai dettagli del bug e ai link potrebbe essere mantenuto ristretto fino a quando la maggior parte degli utenti non sarà aggiornata con una correzione. Manteneremo anche restrizioni se il bug esiste in una libreria di terze parti da cui dipendono altri progetti, ma che non hanno ancora risolto,” ha dichiarato Google.

Google deve ancora divulgare dettagli sull’esploitazione o sugli attori della minaccia dietro gli attacchi. Poiché il difetto è attivamente sfruttato nel mondo reale, si raccomanda vivamente agli utenti di applicare la patch di sicurezza il prima possibile per proteggere i propri dispositivi e se stessi da rischi di sicurezza significativi.

Sebbene l’aggiornamento automatico di Chrome installerà eventualmente la correzione, puoi anche aggiornare manualmente Chrome andando su Impostazioni > Aiuto > Informazioni su Google Chrome.

Perché è il quarto?

** I precedenti zero-day risolti in Chrome durante il 2025 includono CVE20252783 (marzo): Gestione errata fornita in circostanze non specificate in Mojo su Windows; CVE20254664 (maggio): Insufficiente applicazione delle politiche in Loader; e CVE20255419 (giugno): Lettura e scrittura fuori dai limiti in V8.

Con CVE20256554 ora risolto, questo segna il quarto exploit zero-day attivo affrontato in soli sette mesi.