Chrome torna sotto i riflettori per una questione che riguarda praticamente chiunque navighi sul web. Google ha avviato il rilascio di un aggiornamento di sicurezza destinato a oltre 3,5 miliardi di installazioni, intervenendo su 8 vulnerabilità classificate ad alto rischio. Ma non è tutto: in parallelo è emerso un caso che ha coinvolto un’estensione legata all’intelligenza artificiale, capace di eseguire attacchi senza che l’utente facesse assolutamente nulla. E questo, diciamolo, è il tipo di notizia che dovrebbe far alzare un sopracciglio a chiunque.
Cosa sta succedendo a Chrome?
Google ha aggiornato Chrome alle versioni 146.0.7680.164/165 su Windows, macOS e Linux, mentre su Android il browser passa a una release equivalente della serie 146. Nessun exploit attivo è stato individuato al momento, ma la classificazione ad alta gravità delle falle corrette impone di non perdere tempo. I difetti riguardano componenti fondamentali del motore di rendering e delle API grafiche: si parla di heap buffer overflow, condizioni in cui la scrittura fuori dai limiti della memoria può portare all’esecuzione di codice arbitrario. Ci sono poi errori di tipo use after free, tipici di architetture complesse come WebGPU, dove oggetti liberati prematuramente restano accessibili e manipolabili da un attaccante. Completano il quadro problemi di out of bounds read nei moduli CSS e WebAudio, un integer overflow nella gestione dei font e una vulnerabilità nel componente FedCM, dedicato all’autenticazione federata. Google, come da prassi consolidata, ha scelto di non pubblicare subito tutti i dettagli tecnici, in modo da dare tempo alla maggior parte degli utenti di aggiornare Chrome prima che qualcuno possa sfruttare queste informazioni.
Aggiornare Chrome subito: ecco perché conta davvero
Chrome applica gli aggiornamenti in modo automatico, questo è vero. Ma non sempre in tempo reale. Il rollout può richiedere giorni o addirittura settimane su scala globale, e proprio in questa finestra temporale si inseriscono molte campagne di attacco. Un controllo manuale richiede pochissimo: dal menu principale (i tre puntini in alto a destra) si accede a Guida, poi Informazioni su Google Chrome. Il browser verifica la presenza di aggiornamenti, scarica le patch e chiede un riavvio. Attenzione: senza riavviare, il codice corretto non entra in funzione. Un aspetto che molti sottovalutano riguarda le sessioni persistenti: tantissime persone lasciano Chrome aperto per giorni, mantenendo attiva una versione vulnerabile anche dopo il download dell’aggiornamento.
ShadowPrompt e il problema delle estensioni di Chrome
Il caso più inquietante riguarda una vulnerabilità chiamata ShadowPrompt, che ha coinvolto l’estensione di Claude, sviluppata da Anthropic. Un sito web malevolo poteva iniettare prompt AI senza alcuna interazione da parte dell’utente, sfruttando una allowlist delle origini configurata in modo troppo permissivo, combinata con una falla di tipo XSS presente in un componente CAPTCHA fornito da Arkose Labs. Bastava visitare una pagina compromessa per consentire all’attaccante di controllare il comportamento dell’estensione. Nessun clic, nessuna autorizzazione, nessun segnale visibile. Il problema è stato risolto con la versione 1.0.41 dell’estensione Claude.
Ma il punto va oltre il singolo caso. Le estensioni di Chrome rappresentano un rischio reale anche quando partono come strumenti affidabili. Un esempio concreto: QuickLens, un’estensione apparentemente innocua che, dopo un cambio di proprietà, ha iniziato a distribuire codice per il furto di dati. Chrome integra meccanismi di difesa come la Navigazione sicura, che analizza siti, download ed estensioni sia in modalità standard che avanzata. Esistono anche strumenti come l’estensione Under New Management, che segnala variazioni nella proprietà dei componenti installati, confrontando le informazioni prima e dopo ogni aggiornamento.