Google patcha zero-day Android Qualcomm e CVE Chrome Gemini Live mentre AWS corregge AWS-LC

Marzo 2026 si apre con un triplice intervento di sicurezza che coinvolge l’ecosistema mobile, browser e cloud. Google inserisce nel bulletin Android la vulnerabilità zero-day CVE-2026-21385 legata ai chipset Qualcomm, confermandone lo sfruttamento limitato in attacchi reali. In parallelo, Chrome riceve la versione 143.0.7499.192 che chiude CVE-2026-0628, una falla ad alta severità capace di consentire escalation di privilegi nel pannello Gemini Live tramite estensioni malevole. Sul fronte cloud, AWS pubblica il security bulletin 2026-005 e aggiorna la libreria crittografica open-source AWS-LC per correggere tre vulnerabilità che interessano PKCS7 e AES-CCM. Il risultato è una serie di patch coordinate che proteggono miliardi di dispositivi Android, installazioni Chrome e servizi basati su infrastruttura AWS.

AWS-LC e le tre vulnerabilità crittografiche su PKCS7 e AES-CCM

Il 2 marzo 2026 AWS ha rilasciato il security bulletin 2026-005 interamente dedicato alla libreria crittografica AWS-LC, utilizzata in numerosi servizi cloud e progetti open-source. Le vulnerabilità interessano le versioni dalla v1.21.0 in avanti. La prima, CVE-2026-3336, consente a un utente non autenticato di bypassare la verifica della catena di certificati nella funzione PKCS7_verify quando l’oggetto contiene più firmatari tranne l’ultimo. La seconda, CVE-2026-3338, colpisce la stessa funzione e permette di aggirare la verifica della firma in presenza di attributi autenticati. Entrambe sono state corrette nella release v1.69.0. La terza vulnerabilità, CVE-2026-3337, introduce un side-channel legato a una discrepanza temporale durante la decrittazione AES-CCM. Un attaccante può misurare i tempi di esecuzione per dedurre la validità del tag di autenticazione senza conoscere la chiave. Il problema coinvolge anche AWS-LC-FIPS e le binding Rust correlate. AWS ha risolto il difetto nella versione v1.69.0 e nella variante FIPS 3.2.0, raccomandando un aggiornamento immediato. Per la vulnerabilità AES-CCM è stato suggerito l’uso temporaneo di API specifiche EVP AEAD, ma l’upgrade completo resta l’unica mitigazione definitiva.

Zero-day Qualcomm su Android: CVE-2026-21385 sfruttata in attacchi reali

Il 3 marzo 2026 Google ha pubblicato il bulletin di sicurezza Android di marzo, includendo la vulnerabilità CVE-2026-21385 nel componente Graphics di Qualcomm. La falla, con punteggio CVSS 7.8, deriva da un integer overflow nel driver display che provoca corruzione di memoria quando vengono aggiunti dati forniti dall’utente senza verificare lo spazio disponibile nel buffer. L’attaccante locale può eseguire codice arbitrario o causare denial-of-service senza necessità di privilegi elevati né interazione dell’utente. Google ha confermato lo sfruttamento in-the-wild in attacchi limitati e mirati. La vulnerabilità colpisce 235 chipset Qualcomm, presenti in una vasta gamma di smartphone e tablet. Il fix è integrato nei livelli di patch 2026-03-01 e 2026-03-05. I dispositivi Pixel ricevono l’aggiornamento immediatamente, mentre altri produttori completano la validazione hardware prima della distribuzione. Il bulletin Android di marzo include complessivamente 129 vulnerabilità, di cui dieci critiche. CVE-2026-21385 è stata segnalata il 18 dicembre 2025 e notificata ai clienti Qualcomm il 2 febbraio 2026. La presenza di sfruttamento attivo rende prioritario l’aggiornamento per utenti e aziende.

Chrome 143 chiude CVE-2026-0628 su Gemini Live

Parallelamente, Google Chrome ha corretto CVE-2026-0628 con la versione 143.0.7499.192, rilasciata a inizio gennaio 2026. La vulnerabilità, con CVSS 8.8, nasce da un enforcement insufficiente delle policy nel tag WebView. Un attaccante poteva convincere l’utente a installare un’estensione malevola con permessi di base. L’estensione era in grado di iniettare script o HTML arbitrari nel pannello privilegiato Gemini Live, ottenendo accesso a fotocamera e microfono senza consenso, catturando screenshot e leggendo file locali. La falla, soprannominata Glic Jack da Palo Alto Networks Unit 42, è stata segnalata dal ricercatore Gal Weizman il 23 novembre 2025. Google ha rafforzato l’enforcement delle policy e impedito l’iniezione nel pannello AI. La patch è stata distribuita su Windows, Mac e Linux. L’aggiornamento automatico riduce drasticamente la finestra di esposizione, ma Google consiglia comunque di rimuovere estensioni non verificate e abilitare l’autenticazione a due fattori.

Un rafforzamento coordinato di mobile, browser e cloud

L’intervento simultaneo su AWS-LC, Android e Chrome evidenzia la natura interconnessa dell’ecosistema digitale. Le vulnerabilità corrette coprono scenari diversi: bypass di validazione certificati, side-channel crittografici, corruzione di memoria nei driver grafici e escalation di privilegi tramite estensioni browser. Per le organizzazioni questo significa verificare l’adozione delle nuove versioni AWS-LC nei container e nelle dipendenze Rust, assicurare che i dispositivi Android aziendali abbiano almeno il livello di patch 2026-03-05 e controllare che le postazioni desktop eseguano Chrome 143.0.7499.192 o superiore. L’aggiornamento tempestivo riduce la superficie d’attacco su tre livelli fondamentali: infrastruttura cloud, endpoint mobile e browser desktop. In un contesto in cui alcune vulnerabilità risultano già sfruttate in attacchi mirati, la rapidità di patching diventa un elemento determinante per contenere il rischio.