Sommario
La sicurezza informatica globale ha registrato una sequenza critica di vulnerabilità gravi che colpiscono browser, sistemi operativi e infrastrutture software commerciali. Il comune denominatore di questi eventi è la combinazione di esposizione immediata, disponibilità pubblica degli exploit e sfruttamento attivo da parte di attori malevoli. A finire nel mirino sono state tecnologie essenziali come Google Chrome, Windows in configurazione dual boot, la piattaforma Samsung MagicINFO e lo stesso meccanismo di avvio dei browser con privilegi amministrativi.
La reazione delle aziende coinvolte è stata tempestiva, ma la diffusione rapida degli strumenti di attacco ha evidenziato quanto i tradizionali cicli di aggiornamento e comunicazione non siano più sufficienti a garantire la sicurezza. Il caso CVE-2025-4632, sfruttato per installare la botnet Mirai su infrastrutture digitali pubblicitarie, dimostra l’urgenza di un approccio che non sia più solo reattivo, ma che includa una visione anticipatoria delle minacce. In questo scenario in continua evoluzione, anche le scelte tecniche come la disabilitazione dell’avvio con privilegi elevati assumono un valore strategico.
Google corregge una vulnerabilità critica con exploit pubblico in Chrome
Il 13 maggio 2025, Google ha corretto una vulnerabilità di gravità elevata che colpiva il componente Visuals del browser Chrome, classificata come CVE-2025-4664. La falla, di tipo use-after-free, consentiva a un attaccante remoto di eseguire codice arbitrario su un sistema vulnerabile. L’elemento più preoccupante riguarda la disponibilità pubblica di un exploit funzionante, che ha spinto l’azienda a rilasciare un aggiornamento d’emergenza con la versione Chrome 124.0.6367.207/208 per tutte le piattaforme supportate.
Il problema risiede in un errato utilizzo della memoria durante il rendering, che può essere attivato semplicemente inducendo l’utente a visitare un sito web predisposto. Le potenziali implicazioni includono il download e l’esecuzione di malware, la compromissione della sessione dell’utente e l’accesso ai dati locali del browser. Google ha attribuito l’individuazione della vulnerabilità a un ricercatore anonimo, senza specificare se siano già stati osservati attacchi attivi, anche se l’esistenza dell’exploit ne suggerisce l’imminente sfruttamento su larga scala.
Una seconda vulnerabilità Chrome abilita attacchi cross-origin da remoto
Parallelamente, è emersa un’altra criticità rilevante in Chrome 124, documentata in dettaglio da ricercatori indipendenti. L’attacco sfrutta un comportamento errato nella gestione dei frame e dei domini incrociati (cross-origin), che permette a un sito malevolo di leggere e manipolare contenuti di sessioni attive su altri domini, violando le fondamentali politiche Same-Origin Policy su cui si basa la sicurezza del web moderno.
In uno scenario di attacco, la vittima visita un sito trappola contenente iframe manipolati e viene indotta ad autenticarsi su una piattaforma reale (es. servizi bancari, account aziendali). L’attaccante riesce così ad acquisire token di sessione, dati inseriti nei form, o a forzare comportamenti automatizzati in nome dell’utente. L’exploit è facilitato da una configurazione sbagliata dei permessi di embedding e da un uso improprio del document.domain.
Questo tipo di vulnerabilità è particolarmente efficace in combinazione con tecniche di phishing avanzato e si rivolge in modo specifico a infrastrutture aziendali, dove l’accesso a una sessione privilegiata può comportare l’esfiltrazione di dati strategici. Google non ha ancora confermato ufficialmente questa seconda vulnerabilità, ma gli esperti di sicurezza raccomandano l’aggiornamento immediato e la disattivazione dei flag sperimentali legati al SharedArrayBuffer.
Chrome blocca l’esecuzione con privilegi amministrativi su Windows
Nel tentativo di ridurre la superficie di attacco, Google ha implementato una modifica strutturale a Chrome per Windows, che impedisce l’avvio del browser con privilegi di amministratore. Se l’utente tenta di eseguire Chrome da un prompt elevato, il programma si chiude automaticamente e si rilancia con privilegi standard, evitando che operazioni in background vengano eseguite con diritti superiori.
Questa scelta segue una tendenza avviata da Microsoft con Edge, ed è finalizzata a impedire l’escalation dei privilegi attraverso file scaricati, script e plugin malevoli. In passato, attacchi mirati hanno sfruttato sessioni di browser in modalità admin per installare keylogger, modificare voci di registro e disabilitare software di protezione. L’opzione può essere disattivata manualmente con il flag –do-not-de-elevate, ma Google ne sconsiglia fortemente l’utilizzo.
Microsoft risolve il blocco di avvio di Linux nei sistemi dual boot con Windows
Dal mese di agosto 2024, migliaia di utenti hanno segnalato l’impossibilità di avviare Linux su macchine in dual boot con Windows, a causa di un controllo SBAT (Secure Boot Advanced Targeting) introdotto silenziosamente da Microsoft nei propri aggiornamenti. Il modulo SBAT, pensato per bloccare bootloader vulnerabili, ha finito per invalidare firmware perfettamente legittimi, mostrando un errore di tipo Security Policy Violation al momento dell’avvio.
Con l’aggiornamento di maggio 2025, Microsoft ha modificato le regole SBAT per escludere i sistemi dual boot dalla verifica automatica, ripristinando la compatibilità con le principali distribuzioni GNU/Linux (Ubuntu, Fedora, Arch, Debian). Il nuovo comportamento consente a chi ha aggiornato Windows dopo settembre 2024 di avviare Linux senza workaround manuali, tra cui la rimozione forzata di chiavi dal BIOS o modifiche invasive al registro.
Secondo gli analisti di Canonical, l’errore è stato causato da una mancanza di coordinamento tra team kernel e team UEFI, aggravata dall’assenza di comunicazione preventiva con le community di sviluppo. L’impatto è stato particolarmente severo in ambito accademico e scientifico, dove il dual boot rappresenta lo standard per ambienti di ricerca e sviluppo.
Samsung corregge una falla critica in MagicINFO usata per diffondere Mirai
Il 14 maggio 2025, Samsung ha annunciato la disponibilità di un aggiornamento per correggere la vulnerabilità CVE-2025-4632 in MagicINFO 9 Server, una piattaforma utilizzata per la gestione remota di display pubblicitari. La falla, classificata con punteggio CVSS 9.8, consente a un attaccante remoto non autenticato di scrivere file arbitrari con privilegi di sistema, sfruttando una vulnerabilità di path traversal.
Secondo le indagini del team Huntress, la falla è stata sfruttata attivamente a partire dal 30 aprile 2025, data in cui è stato pubblicato un proof-of-concept da parte di SSD Disclosure. In tre incidenti documentati, gli attaccanti hanno installato srvany.exe e services.exe, oltre a payload legati al botnet Mirai, confermando l’utilizzo del bug per attacchi DDoS e installazione di malware persistente su dispositivi aziendali.
CVE-2025-4632 rappresenta un bypass diretto della patch precedente CVE-2024-7399, rilasciata ad agosto 2024. I sistemi aggiornati alla versione 21.1050.0 risultano ancora vulnerabili, e solo l’ultima release 21.1052.0 corregge completamente il problema. Samsung ha precisato che l’aggiornamento non è incrementale: gli utenti dovranno prima passare alla 21.1050.0 e solo successivamente alla 21.1052.0, un processo che ha creato ritardi significativi nella messa in sicurezza delle infrastrutture.
