Gli aggiornamenti Chrome di settembre 2025 consolidano la milestone 140 in stable, spingono la 141 in beta e aprono la strada alla 142 nel canale dev su desktop, Android, iOS e ChromeOS. Il rilascio chiude vulnerabilità critiche come CVE-2025-10200 su ServiceWorker e CVE-2025-10201 su Mojo, migliora stabilità e performance e allinea i rami di sviluppo con la Web Platform. La stable desktop arriva a 140.0.7339.127 su Windows e Linux, mentre macOS adotta 140.0.7339.132/.133 per Apple Silicon; Android si attesta su 140.0.7339.123 e iOS su 140.0.7339.122. La beta testa 141.0.7390.16 su desktop e 141.0.7390.17 su Android, con iOS beta in progressione 141.0.7390.14 → .21. Il dev avanza a 142.0.7405.4 su desktop e 142.0.7405.2 su Android. ChromeOS stable aggiorna a 16328.72.0 (browser 139.0.7258.172), la beta prova 16371.41.0, mentre l’LTS resta su 138.0.7204.261 fino a ottobre. Gli utenti enterprise gestiscono il rollout con policy e anelli pilota, mentre i sanitizer e il fuzzing riducono la finestra utile per exploit su larga scala.
Cosa leggere
Versioni stabili: desktop e mobile
La stable 140.0.7339.127 integra i fix per CVE-2025-10200/10201, riduce crash nelle PWA e rafforza l’isolamento dell’IPC Mojo. Su macOS le varianti .132/.133 ottimizzano compatibilità Apple Silicon; su Android (140.0.7339.123) arrivano gli stessi hardening di sicurezza e stability fix; su iOS (140.0.7339.122) migliorano gestione multi-tab e recovery con rete intermittente. Gli update automatici chiudono rapidamente l’esposizione, mentre le policy aziendali scaglionano l’adozione per evitare regressioni.
Beta 141 e Dev 142: cosa cambia per gli sviluppatori
La beta 141.0.7390.16/17 funge da ponte tra stabilità e innovazione: gli sviluppatori abilitano flag mirati, seguono chromestatus e validano API in anteprima con CI dedicate. Il dev 142.0.7405.x concentra esperimenti su V8, WebAssembly e pipeline grafica/rete: non è per la produzione, ma intercetta rotture e fornisce telemetria utile alla roadmap.
ChromeOS e LTS: gestione fleet ed education
Su ChromeOS, la stable 16328.72.0 con browser 139.0.7258.172 introduce correzioni su energia, input e rete, mentre la beta 16371.41.0 affina la UI e il device management. L’LTS 138.0.7204.261 resta l’opzione per ambienti regolamentati che privilegiano predictability, con backport di sicurezza senza inseguire ogni feature.
Patch di sicurezza: perché contano (ServiceWorker e Mojo)
La critica CVE-2025-10200 è un use-after-free in ServiceWorker che poteva abilitare RCE o sandbox escape in catene d’attacco. CVE-2025-10201 riguarda una inappropriate implementation in Mojo, con rischio di leak o primitive per escalation. Il ciclo di settembre sfrutta AddressSanitizer, MemorySanitizer, UBSan, CFI, oltre a LibFuzzer/AFL, comprimendo l’area di attacco nelle componenti più sensibili.
Indicazioni operative per team IT e sviluppatori
I team IT definiscono anelli pilota, vincoli di versione minima, allowlist per estensioni e raccolgono telemetria su crash e regressioni prima dell’estensione a tutta la fleet. Gli sviluppatori usano stable 140 per produzione, beta 141 per feature preview e dev 142 per test su breaking change, mantenendo feature detection, fallback e monitoraggio in produzione.
