Google e Veeam hanno pubblicato aggiornamenti di sicurezza urgenti per correggere vulnerabilità che potrebbero consentire esecuzione remota di codice, escalation di privilegi e compromissione dei sistemi aziendali. Google ha risolto due zero-day attivamente sfruttati nel browser Chrome, mentre Veeam ha distribuito patch per sette vulnerabilità critiche nel software Backup & Replication, uno dei sistemi di backup più utilizzati nelle infrastrutture enterprise. Le due aziende hanno sottolineato l’importanza di installare immediatamente gli aggiornamenti, poiché la disponibilità delle patch potrebbe facilitare il reverse engineering da parte degli attaccanti, accelerando lo sviluppo di exploit per i sistemi non aggiornati.
Cosa leggere
Due zero-day attivi corretti in Google Chrome
Google ha corretto due vulnerabilità identificate come CVE-2026-3909 e CVE-2026-3910, entrambe classificate con punteggio CVSS 8.8, quindi considerate ad alta gravità. La prima vulnerabilità riguarda Skia, la libreria grafica 2D utilizzata dal browser per il rendering dei contenuti web. La falla consiste in una scrittura out-of-bounds, che permette a un attaccante remoto di manipolare la memoria del processo browser tramite contenuti HTML appositamente costruiti. La seconda vulnerabilità colpisce invece V8, il motore JavaScript di Chrome. In questo caso il problema deriva da una implementazione inappropriata che potrebbe consentire l’esecuzione arbitraria di codice all’interno della sandbox del browser. Google ha confermato che entrambe le vulnerabilità sono state sfruttate attivamente in attacchi reali, anche se non ha pubblicato dettagli tecnici sugli exploit per evitare che possano essere replicati.
Aggiornamenti Chrome disponibili su tutte le piattaforme
Le correzioni sono state integrate nelle nuove versioni stabili del browser:
- Chrome 146.0.7680.75 e 146.0.7680.76 per Windows e macOS
- Chrome 146.0.7680.75 per Linux
Gli utenti possono verificare la presenza dell’aggiornamento aprendo il menu principale del browser, selezionando Help e successivamente About Google Chrome, dove il sistema avvierà automaticamente il download e l’installazione dell’update. I browser basati su Chromium, tra cui Microsoft Edge, Brave, Opera e Vivaldi, dovrebbero distribuire patch analoghe nelle prossime settimane. Questo aggiornamento arriva a poche settimane dalla correzione della vulnerabilità CVE-2026-2441, un bug use-after-free nel motore CSS scoperto a febbraio, portando a tre zero-day corretti da Google nel 2026.
Sette vulnerabilità critiche corrette in Veeam Backup & Replication
Parallelamente agli aggiornamenti Chrome, Veeam ha rilasciato patch per sette vulnerabilità critiche nel software Backup & Replication, utilizzato da migliaia di aziende per la gestione dei backup e il disaster recovery.
Le vulnerabilità identificate sono:
- CVE-2026-21666
- CVE-2026-21667
- CVE-2026-21668
- CVE-2026-21672
- CVE-2026-21708
- CVE-2026-21669
- CVE-2026-21671
Alcune di queste vulnerabilità raggiungono un punteggio CVSS fino a 9.9, indicando un rischio estremamente elevato. Diversi bug permettono esecuzione remota di codice (RCE) a utenti autenticati nel dominio o su sistemi interni, mentre altre vulnerabilità consentono manipolazione dei file nei repository di backup o escalation di privilegi locali sui server Windows.
Versioni aggiornate e sistemi interessati
Le vulnerabilità riguardano principalmente le versioni 12.x e 13.x di Veeam Backup & Replication. Le patch sono disponibili nelle seguenti versioni:
- Veeam Backup & Replication 12.3.2.4465
- Veeam Backup & Replication 13.0.1.2067
Secondo l’azienda, queste versioni risolvono tutte le vulnerabilità identificate senza modificare il comportamento delle funzionalità di backup. Gli amministratori di sistema sono invitati a aggiornare immediatamente i server di backup, verificando prima la compatibilità in ambienti di test.
Perché le vulnerabilità nei sistemi di backup sono particolarmente pericolose
Le vulnerabilità nei sistemi di backup rappresentano un obiettivo privilegiato per gli attaccanti, soprattutto nelle campagne ransomware. Se un criminale informatico riesce a compromettere un server di backup può:
- eliminare o corrompere copie di sicurezza
- distribuire malware all’interno dell’infrastruttura
- bloccare i sistemi di recupero dopo un attacco ransomware
Questo scenario rende le infrastrutture di backup uno dei punti più sensibili della sicurezza aziendale. In passato diversi gruppi ransomware hanno sfruttato vulnerabilità nei sistemi di backup per disattivare i meccanismi di ripristino prima di avviare la cifratura dei dati.
Possibile sviluppo di exploit dopo il rilascio delle patch
Veeam ha avvertito che, anche se non risultano exploit pubblici al momento, gli attaccanti potrebbero analizzare le patch appena rilasciate tramite reverse engineering. Questo processo consente ai ricercatori e ai criminali informatici di individuare rapidamente le modifiche nel codice e ricostruire exploit funzionanti per le versioni non aggiornate. Per questo motivo gli esperti di sicurezza raccomandano di installare gli aggiornamenti il prima possibile, riducendo la finestra temporale in cui i sistemi rimangono vulnerabili.
Rischi per utenti e aziende
Le vulnerabilità corrette in Chrome e Veeam presentano rischi differenti ma potenzialmente molto gravi. Nel caso di Chrome, un attaccante può utilizzare una pagina web malevola per eseguire codice nel browser dell’utente, con possibili conseguenze come:
- installazione di malware
- furto di sessioni o credenziali
- compromissione del sistema host
Nel caso di Veeam, invece, il rischio riguarda principalmente infrastrutture aziendali e data center, dove un exploit potrebbe permettere a un attaccante di prendere il controllo dei server di backup o manipolare i dati archiviati.
Misure di mitigazione raccomandate
Gli esperti suggeriscono alcune misure immediate per ridurre il rischio di compromissione. Per gli utenti Chrome è fondamentale verificare che il browser sia aggiornato all’ultima versione e riavviare l’applicazione dopo l’installazione dell’update. Per le aziende che utilizzano Veeam Backup & Replication è consigliato:
- aggiornare immediatamente alla versione patchata
- limitare l’accesso ai server di backup
- monitorare i log di sistema per attività sospette
- applicare il principio del least privilege agli account amministrativi
Molte organizzazioni stanno inoltre adottando sistemi automatizzati di patch management per ridurre il tempo necessario alla distribuzione degli aggiornamenti.
Crescita degli attacchi basati su vulnerabilità zero-day
Il numero crescente di vulnerabilità zero-day sfruttate attivamente dimostra quanto sia diventato strategico il controllo delle piattaforme più diffuse. I browser web rappresentano uno dei bersagli principali perché costituiscono la porta d’accesso quotidiana a internet per miliardi di utenti, mentre i sistemi di backup sono diventati un obiettivo privilegiato per i gruppi ransomware. Per questo motivo aziende come Google e Veeam stanno investendo sempre più risorse nella ricerca preventiva delle vulnerabilità, utilizzando tecniche come fuzzing automatico, bug bounty e analisi del codice.
Sicurezza software sempre più centrale nelle infrastrutture digitali
Gli aggiornamenti pubblicati da Google e Veeam dimostrano quanto la sicurezza software sia diventata un elemento centrale nelle infrastrutture digitali moderne. Browser e sistemi di backup sono componenti critici della sicurezza informatica. Una singola vulnerabilità non corretta può trasformarsi rapidamente in una porta d’ingresso per attacchi su larga scala. Per questo motivo la gestione degli aggiornamenti resta una delle difese più efficaci contro le minacce informatiche.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
