Basta aprire una pagina web sbagliata per mettere a rischio un browser non aggiornato, ed è esattamente questo lo scenario che rende la nuova vulnerabilità di Chrome qualcosa da affrontare senza perdere tempo. Con il rilascio di Chrome 149.0.7827.103, Google ha sistemato 74 difetti di sicurezza, ma uno tra tutti ha fatto drizzare le antenne agli analisti: la vulnerabilità CVE-2026-11645, già usata in attacchi reali ancora prima che la patch arrivasse agli utenti.
Il punto debole si trova in V8, il motore che esegue codice JavaScript e WebAssembly dentro Chrome. È la base su cui girano le applicazioni web moderne ed è presente in moltissimi progetti costruiti su Chromium. Questa falla porta a 5 il numero di zero-day di Chrome sfruttati attivamente e corretti da Google dall’inizio del 2026. Il punteggio CVSS assegnato è 8,8 su 10, e il ricercatore che l’ha individuata ha incassato una ricompensa di circa 50.000 euro nell’ambito del programma bug bounty della società.
Come funziona la vulnerabilità e perché preoccupa
La documentazione tecnica parla di un caso di out-of-bounds read/write all’interno di V8. Tradotto: il motore JavaScript può finire per leggere o scrivere in zone di memoria che dovrebbero restare off limits. Quando un attaccante riesce a pilotare questi accessi, può alterare strutture dati interne, mettere le mani su informazioni riservate oppure creare le condizioni giuste per l’esecuzione di codice arbitrario.
L’aspetto più spinoso riguarda il modo in cui scatta l’attacco. Non serve installare nulla, niente allegati da aprire. Secondo quanto pubblicato da Google, basta una pagina HTML costruita ad arte per innescare la vulnerabilità CVE-2026-11645. La semplice visita di un sito malevolo può far partire tutta la catena.
All’inizio il codice gira dentro la sandbox del browser, quel meccanismo di isolamento che Chrome usa da anni proprio per contenere i danni in caso di compromissione. Però la storia delle campagne più raffinate insegna che una falla nel motore JavaScript è quasi sempre solo il primo gradino. I criminali tendono ad accoppiarla ad altri difetti capaci di scavalcare la sandbox e ottenere privilegi elevati sul sistema.
C’è poi un motivo per cui V8 resta un bersaglio così appetibile. Le applicazioni web eseguono ormai quantità enormi di codice direttamente nel browser, e per garantire prestazioni elevate il motore ricorre a tecniche sofisticate come la compilazione just-in-time, la gestione avanzata degli oggetti JavaScript e il supporto nativo a WebAssembly. Più complessità significa più superficie di attacco. I problemi legati alla gestione della memoria, tipici dei software scritti soprattutto in C++, rimangono tra i più critici: da un accesso fuori limite si può arrivare a corrompere l’heap o ad aggirare protezioni come ASLR, la tecnica che assegna indirizzi di memoria casuali per complicare la vita a chi costruisce exploit affidabili.
Versioni corrette e perché conviene aggiornare adesso
Le correzioni sono arrivate con le versioni 149.0.7827.102 e 149.0.7827.103 di Chrome per Windows e macOS, mentre su Linux la patch è nella 149.0.7827.102. Chiunque usi una release precedente farebbe bene a considerare il proprio browser vulnerabile finché non installa l’aggiornamento.
Il guaio non si ferma a Google. Tanti browser poggiano sul codice sorgente di Chromium e condividono buona parte dei componenti di base. Microsoft Edge, Brave, Opera e Vivaldi devono integrare le stesse correzioni nei rispettivi canali. Quando salta fuori una falla critica in V8, l’onda d’urto va ben oltre il prodotto firmato Google. C’è poi un aspetto che spesso passa inosservato: le applicazioni desktop costruite con framework basati su Chromium, come molte soluzioni sviluppate tramite Electron. Non tutte risultano automaticamente esposte, ma la presenza di V8 come componente condiviso obbliga gli amministratori di sistema a fare verifiche extra.
La mossa più efficace
La mossa più efficace resta una sola, l’aggiornamento immediato del browser. Chrome di solito scarica gli update in background, ma la correzione non entra in funzione finché l’applicazione non viene riavviata. E qui casca l’asino: molti tengono le sessioni aperte per settimane senza mai chiudere il programma, lasciando attive versioni vulnerabili anche dopo che la patch è già stata scaricata.
La CVE-2026-11645 è il quinto zero-day di Chrome corretto dopo conferma di sfruttamento attivo nel 2026. Nei mesi precedenti Google aveva già messo le pezze a CVE-2026-2441, CVE-2026-3909, CVE-2026-3910 e CVE-2026-5281. I browser moderni custodiscono credenziali, cookie di autenticazione, token aziendali, documenti e dati personali, e per molti rappresentano la porta principale verso servizi cloud e piattaforme di produttività. Un bottino che fa gola a gruppi criminali, operatori di spyware e attori sponsorizzati da Stati. La frequenza con cui emergono falle in componenti complessi come V8 non racconta un calo di qualità del software, semmai l’intensità del lavoro di ricerca portato avanti da esperti indipendenti, programmi di bug bounty e team specializzati nel trovare i difetti prima che vengano sfruttati su larga scala.