Un nuovo zero-day in Chrome, identificato come CVE-2026-2441, viene sfruttato attivamente in the wild e costringe Google a rilasciare un aggiornamento d’emergenza. La vulnerabilità, classificata ad alta gravità con punteggio CVSS 8.8, riguarda un bug use-after-free nel componente CSS e consente a un attaccante remoto di eseguire codice arbitrario all’interno della sandbox del browser tramite una pagina HTML appositamente costruita. Il difetto viene segnalato l’11 febbraio 2026 dal ricercatore Shaheen Fazim, e Google conferma la presenza di exploit attivi senza rivelare dettagli su autori o obiettivi specifici. La patch viene distribuita il 16 febbraio 2026, segnando il primo zero-day attivamente sfruttato corretto nel 2026.
CVE-2026-2441: un use-after-free nel modulo CSS
La vulnerabilità CVE-2026-2441 è un classico use-after-free, una categoria di bug che si verifica quando il software tenta di accedere a una porzione di memoria già liberata. In contesti complessi come un browser moderno, questo comportamento può essere sfruttato per corrompere la memoria, manipolare flussi di esecuzione e, nei casi più gravi, eseguire codice arbitrario. Nel caso specifico, il problema risiede nel modulo CSS, componente fondamentale per il rendering di layout e stili web. La superficie di attacco è quindi ampia: ogni pagina HTML carica fogli di stile e regole di rendering. Un aggressore può creare una pagina “crafted” che innesca l’errore di gestione della memoria e attiva l’exploit. Chrome integra una sandbox robusta per isolare i processi di rendering, ma un’esecuzione di codice all’interno della sandbox rappresenta comunque un rischio concreto, soprattutto se combinata con altre vulnerabilità per tentare una escape dalla sandbox o un’escalation di privilegi. Google classifica il bug come zero-day attivo, confermando che esistono exploit in circolazione. Questo elemento alza il livello di criticità: non si tratta di una vulnerabilità teorica ma di una falla già utilizzata in scenari reali.
Exploit in the wild: attacchi mirati e pagine HTML malevole
Secondo quanto comunicato da Google, CVE-2026-2441 viene sfruttato attivamente, ma i dettagli restano limitati per evitare che ulteriori attori malevoli replichino l’attacco. Il vettore più plausibile è la visita a una pagina HTML malevola, distribuita tramite phishing, siti compromessi o campagne mirate contro utenti specifici. In scenari di questo tipo, l’utente non deve scaricare nulla: basta caricare una pagina che contenga codice HTML e CSS progettato per attivare la condizione di use-after-free. Se l’exploit riesce, l’attaccante può eseguire codice all’interno del processo del browser. I target potenziali includono utenti ad alto profilo, ambienti aziendali e sistemi governativi, contesti dove un accesso iniziale tramite browser può aprire la strada a operazioni di spionaggio o distribuzione di malware. Zero-day di questo livello sono spesso oggetto di interesse da parte di gruppi avanzati, inclusi attori statali. La telemetria di Chrome e la collaborazione con partner del settore permettono di individuare comportamenti anomali, ma il fattore tempo resta cruciale: ogni giorno di ritardo nell’aggiornamento aumenta la finestra di esposizione.
Versioni colpite e browser interessati
CVE-2026-2441 colpisce le versioni di Chrome precedenti alla 145.0.7632.75. Google rilascia le versioni 145.0.7632.75/76 per Windows e macOS e 144.0.7559.75 per Linux. Il problema non riguarda solo Chrome in senso stretto. Poiché il bug si trova nel codice di Chromium, risultano potenzialmente esposti anche i browser basati su questa piattaforma, tra cui:
- Microsoft Edge
- Brave
- Opera
- Vivaldi
Questi vendor integrano rapidamente le correzioni upstream, ma gli utenti devono verificare manualmente la disponibilità degli aggiornamenti. Nei contesti enterprise, i team IT devono distribuire le nuove versioni attraverso policy centralizzate per evitare che build obsolete restino operative.
Anche Chrome su Android segue cicli di aggiornamento simili, con distribuzione tramite gli store ufficiali. I dispositivi mobili rappresentano una superficie significativa, dato l’elevato tasso di utilizzo del browser su smartphone.
La risposta di Google e il ruolo del bug bounty
Google rilascia la patch il 16 febbraio 2026, pochi giorni dopo la segnalazione, dimostrando una capacità di risposta rapida. L’azienda mantiene una politica di disclosure limitata finché la maggioranza degli utenti non ha installato l’aggiornamento, riducendo il rischio di exploitation di massa. Il contributo di Shaheen Fazim evidenzia il valore dei programmi di bug bounty, che incentivano ricercatori indipendenti a segnalare vulnerabilità prima che vengano sfruttate in modo esteso. Questo modello collaborativo accelera la scoperta e la mitigazione dei bug, rafforzando l’intero ecosistema. La correzione interviene sulla gestione della memoria nel modulo CSS, migliorando le validazioni e prevenendo accessi a regioni già liberate. I team di sicurezza rivedono il codice coinvolto e integrano ulteriori controlli per ridurre il rischio di regressioni simili.
Zero-day e sicurezza del browser: un equilibrio fragile
I browser moderni sono tra i software più complessi e più esposti del panorama digitale. Ogni innovazione nel motore di rendering, nel supporto a nuovi standard web o nell’ottimizzazione delle performance introduce nuove superfici di attacco. Il caso CVE-2026-2441 dimostra che anche componenti apparentemente “ordinari” come il CSS possono diventare vettori critici. Le difese come sandboxing, isolamento dei processi e mitigazioni a livello di sistema operativo riducono l’impatto, ma non eliminano completamente il rischio quando un exploit è ben costruito. La frequenza crescente di zero-day nei browser indica una competizione continua tra sviluppatori e attaccanti. L’adozione massiva di Chrome amplifica l’impatto potenziale di ogni vulnerabilità, rendendo essenziale una strategia di aggiornamento costante e automatizzata.
Cosa devono fare utenti e aziende
L’azione prioritaria è semplice ma decisiva: aggiornare immediatamente il browser. In Chrome, è sufficiente accedere al menu “Informazioni su Google Chrome” per verificare e installare la versione più recente. Il riavvio del browser completa l’operazione. Le organizzazioni devono assicurarsi che le policy di gestione degli endpoint impongano versioni aggiornate e che eventuali restrizioni sugli update automatici non ritardino la distribuzione di patch critiche. Nei contesti ad alta sensibilità, è opportuno monitorare eventuali indicatori di compromissione legati a comportamenti anomali del processo del browser. Gli utenti dovrebbero mantenere attivi gli aggiornamenti automatici, evitare la navigazione su siti non affidabili e diffidare di link ricevuti tramite email o messaggistica istantanea. Sebbene la vulnerabilità si attivi tramite rendering di una pagina HTML, la prudenza nella navigazione riduce la probabilità di esposizione a exploit mirati.
Il primo zero-day Chrome del 2026
Con CVE-2026-2441, il 2026 si apre con un segnale chiaro: la sicurezza del browser resta un campo di battaglia centrale. La rapidità con cui Google interviene limita la finestra di rischio, ma l’episodio conferma che gli zero-day nei browser sono strumenti ad alto valore strategico. Aggiornare non è un’opzione ma una necessità. In un ecosistema web sempre più complesso, la resilienza dipende dalla capacità di reagire in ore, non in settimane.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
