Le piattaforme di Google e Microsoft affrontano simultaneamente una fase critica per la sicurezza, con una zero-day su Chrome attivamente sfruttata e un update out-of-band per Windows 10 che corregge errori nell’installazione delle licenze ESU, elementi che emergono già nel primo periodo. Google patcha la vulnerabilità CVE-2025-13223, una confusione di tipi nel motore V8 capace di consentire esecuzione di codice arbitrario, mentre Microsoft rilascia KB5072653 per risolvere l’errore 0x800f0922 che impedisce l’applicazione degli aggiornamenti estesi su Windows 10 22H2. Entrambe le aziende raccomandano aggiornamenti immediati, evidenziando come il 2025 confermi una crescita delle minacce contro browser e sistemi legacy con milioni di utenti esposti.
Cosa leggere
Dettagli tecnici sulla vulnerabilità zero-day di Chrome
La vulnerabilità CVE-2025-13223 colpisce direttamente il motore V8 di Chrome, generando una condizione di confusione di tipi che porta a heap corruption e possibili crash o esecuzione arbitraria di codice. La falla viene sfruttata attivamente in natura, come confermato dal Threat Analysis Group il 12 novembre 2025. La severità elevata, con punteggio CVSS 8.8, riflette un rischio importante per utenti consumer e professionali, in particolare per categorie ad alto profilo come giornalisti e ricercatori. Le versioni precedenti alla 142.0.7444.175 risultano vulnerabili, mentre la patch è disponibile su Windows, macOS e Linux. Google limita i dettagli tecnici fino al completamento del rollout, per evitare un incremento degli attacchi durante la finestra di aggiornamento. La falla rappresenta la settima zero-day corretta nel 2025 e la terza basata su bug di tipo confusion in V8, confermando una tendenza a sfruttare debolezze interne al motore JavaScript per catene di exploit sempre più sofisticate.
Modalità di sfruttamento della falla in attacchi reali
Gli attaccanti utilizzano la vulnerabilità per compromettere i sistemi tramite siti web malevoli, ottenendo esecuzione di codice senza interazioni aggiuntive da parte dell’utente. L’exploit può essere integrato in catene multi-step che aggirano la sandbox del browser e combinano CVE-2025-13223 con altre vulnerabilità adiacenti, come CVE-2025-13224, anch’essa risolta nel pacchetto di aggiornamento. La superficie di attacco coinvolge miliardi di dispositivi Chrome e Chromium-based, con Google che coordina rollout simultanei con vendor come Microsoft Edge. L’aumento delle zero-day basate su browser nel 2025 è un dato rilevante, indicando una preferenza crescente degli attori malevoli verso vettori immediatamente accessibili via web. Le mitigazioni integrate in V8 dopo questo incidente mirano a ridurre la possibilità di future confusion di tipi, con il supporto di sistemi di analisi basati su AI per identificare pattern di vulnerabilità simili.
Raccomandazioni operative per utenti Chrome
Gli utenti sono invitati ad aggiornare Chrome manualmente tramite il menu Aiuto, anche se il browser scarica e applica automaticamente la patch quando disponibile. Google raccomanda di verificare la versione installata e di abilitare gli aggiornamenti in background per ridurre l’esposizione. In ambienti a connettività limitata è possibile utilizzare installazioni offline, mentre gli utenti enterprise devono distribuire il fix tramite i tool di amministrazione. Google avverte anche sulla diffusione di phishing che sfrutta paure legate agli update e consiglia di installare solo patch provenienti da fonti ufficiali. L’aggiornamento protegge da attacchi attivi, particolarmente rischiosi per gruppi ad alto profilo, mentre Google continua a monitorare eventuali evoluzioni delle campagne spyware associate.
Update out-of-band KB5072653 per gli utenti Windows 10
Parallelamente all’aggiornamento Chrome, Microsoft rilascia KB5072653, un update fuori ciclo che risolve il problema 0x800f0922 riscontrato su Windows 10 22H2 durante l’installazione delle licenze ESU. L’errore si presenta nei sistemi che avevano installato la patch di ottobre KB5066791 e impediva l’applicazione dell’aggiornamento di sicurezza esteso KB5068781, previsto per novembre. Il fix prepara il sistema a ricevere il primo aggiornamento ESU del ciclo rinnovato e garantisce che il supporto possa essere esteso oltre la fine vita ufficiale del sistema operativo, fissata a ottobre 2025. Microsoft distribuisce automaticamente la patch tramite Windows Update, richiedendo il riavvio del sistema per completare l’installazione. Gli utenti enterprise devono attendere alcuni aggiornamenti dei metadata WSUS prima di procedere al deployment interno.
Problemi risolti e miglioramenti collegati all’update Windows 10
L’aggiornamento KB5072653 risolve una serie di problematiche collegate ai flussi ESU, compresa la mancata offerta dell’update KB5068781 e instabilità osservate in WSUS e SCCM. Il pacchetto prepara inoltre il sistema a un’estensione ESU che ha un costo annuale di 27 euro per i consumer e 390 euro per tre anni per le aziende, consentendo la continuità del supporto di sicurezza in ambienti legacy che non sono ancora migrati a Windows 11. Oltre alla risoluzione dell’errore 0x800f0922, Microsoft implementa correzioni collaterali su componenti come LSASS, interfacce di autenticazione, backlight tastiera, layout aggiornati nelle impostazioni e miglioramenti per il supporto hardware. Il pacchetto integra anche un aggiornamento al branding di Game Pass e ottimizzazioni di Explorer in modalità scura. Gli aggiornamenti migliorano la stabilità complessiva del sistema, riducendo il rischio di interruzioni durante la distribuzione delle patch critiche.
Raccomandazioni operative per utenti Windows 10
Microsoft suggerisce di installare KB5072653 tramite Windows Update e, se necessario, procedere manualmente alla ricerca degli aggiornamenti. L’azienda raccomanda il backup dei dati prima dell’applicazione del fix e l’utilizzo del troubleshooter integrato in caso di problemi residui. Gli utenti devono reinstallare la licenza ESU dopo aver applicato la patch e verificare la corretta attivazione tramite le impostazioni del sistema. Microsoft ricorda inoltre che l’update non verrà offerto se la patch di ottobre non è installata e invita le aziende ad attendere la distribuzione dei nuovi metadata WSUS quando previsto. L’intervento garantisce protezione aggiuntiva ai sistemi legacy, ancora ampiamente diffusi nei contesti professionali.
Implicazioni generali per la sicurezza digitale
I fix rilasciati da Google e Microsoft riflettono una crescente attenzione alla sicurezza di browser e sistemi operativi legacy. La zero-day di Chrome conferma la rilevanza dei browser come vettori preferenziali per attacchi immediati, mentre il supporto esteso di Windows 10 mostra la necessità di mantenere protetti sistemi ancora ampiamente utilizzati in ambito aziendale. Google sfrutta il Threat Analysis Group per monitorare le minacce emergenti, mentre Microsoft integra controlli per garantire continuità nelle installazioni ESU. Le patch sottolineano l’importanza degli aggiornamenti tempestivi, soprattutto in un contesto in cui gli attori malevoli dispongono di strumenti avanzati e campagne mirate contro utenti ad alto profilo.
