Chrome corregge centinaia di falle, Brave lancia Origin e Hola finisce nel caso miner

Il mese di giugno 2026 segna un passaggio rilevante per l’ecosistema browser, con tre sviluppi molto diversi ma collegati dallo stesso tema: la fiducia nel software che media l’accesso quotidiano al web. Google distribuisce una vasta ondata di aggiornamenti per Chrome e ChromeOS, correggendo centinaia di vulnerabilità tra canali Stable, Beta, Dev e Long Term Support. La release desktop Chrome 149.0.7827.53/54 per Windows, macOS e Linux include 429 fix di sicurezza, con vulnerabilità critiche in componenti come ANGLE, Network, Chromoting, Cast Streaming, GFX e GPU, confermando l’urgenza di aggiornare rapidamente browser e flotte aziendali. Parallelamente Brave Software introduce Brave Origin, una variante premium e minimalista del proprio browser Chromium-based, pensata per utenti che vogliono privacy, blocco tracker e aggiornamenti di sicurezza senza funzioni aggiuntive come Rewards, Wallet, Leo AI, News, Talk o promozioni VPN. Sul fronte opposto, Sophos X-Ops individua in Hola Browser 1.251.91.0 un eseguibile inatteso, me.exe, poi associato a un miner basato su XMRig, distribuito come servizio automatico dopo un incidente nella pipeline software. Il quadro complessivo è netto: il browser resta un asset critico, sia per la gestione delle vulnerabilità sia per il rischio supply chain, mentre gli utenti più esperti chiedono prodotti più trasparenti, aggiornabili e privi di componenti percepiti come invasivi.

Chrome 149 porta una delle patch di sicurezza più estese dell’anno

La release Chrome 149.0.7827.53/54 sul canale Stable Desktop rappresenta uno degli aggiornamenti più corposi pubblicati da Google nel 2026, perché corregge 429 vulnerabilità di sicurezza su Windows, macOS e Linux. Tra i bug più rilevanti emergono CVE-2026-10881, vulnerabilità critica di tipo out-of-bounds read/write in ANGLE, CVE-2026-10882, use-after-free nel componente Network, CVE-2026-10883, out-of-bounds write ancora in ANGLE, oltre a difetti critici in Chromoting, Cast Streaming, Cast, GFX e GPU. La presenza di molteplici vulnerabilità critiche in componenti grafici, rete e rendering conferma quanto la superficie d’attacco di un browser moderno sia ampia e stratificata. ANGLE, GPU, Dawn, Ozone, WebRTC, V8, FullScreen e componenti di streaming o controllo remoto sono parti diverse dello stesso ecosistema Chromium, ma condividono un punto comune: vengono esposte quotidianamente a contenuti web non fidati, input multimediali, accelerazione hardware e interazioni complesse tra sandbox, driver e sistema operativo. La distribuzione graduale della patch impone attenzione agli amministratori, perché non tutti i sistemi ricevono l’update nello stesso momento. Per ambienti aziendali, scuole, workstation di sviluppo e dispositivi gestiti, la priorità non è soltanto installare l’aggiornamento, ma verificare che la nuova build sia effettivamente arrivata su tutte le piattaforme e che eventuali policy di controllo versione non stiano rallentando il rollout.

Beta e Dev preparano Chrome 150 senza cambiare la logica della cadenza rapida

Mentre il canale stabile consolida Chrome 149, Google porta Chrome 150.0.7871.4 sul canale Beta per Windows, macOS e Linux, affiancando la nuova build a Chrome Dev 150.0.7865.2. Questi avanzamenti non introducono una rottura visibile per l’utente finale, ma confermano la cadenza rapida del progetto Chromium, dove stabilità, regressioni, performance e compatibilità vengono testate in parallelo su più rami. Per gli sviluppatori web e i team QA, il canale Beta resta essenziale perché anticipa modifiche che possono incidere su rendering, API, comportamento delle estensioni, gestione di WebRTC, motore V8 e componenti grafici. Il canale Dev, invece, continua a funzionare come area di esposizione precoce per commit più recenti e potenzialmente instabili. In una fase in cui Chrome corregge centinaia di vulnerabilità in un’unica release stabile, il mantenimento dei rami Beta e Dev assume un peso operativo maggiore: consente di intercettare incompatibilità prima che arrivino agli utenti finali, riducendo il rischio che una patch di sicurezza urgente produca regressioni difficili da gestire. La catena di release di Chrome resta quindi un equilibrio tra velocità di aggiornamento e controllo qualità, con un impatto diretto su sysadmin, sviluppatori SaaS, vendor di estensioni e organizzazioni che devono certificare applicazioni interne su build precise del browser.

Android, iOS e ChromeOS ricevono aggiornamenti coordinati

L’ondata di aggiornamenti non riguarda solo il desktop. Chrome Stable per Android raggiunge la versione 149.0.7827.59, portando sul mobile gli stessi interventi di sicurezza della controparte desktop e distribuendoli attraverso Google Play. In parallelo, Chrome Beta per Android avanza a build della serie 150.0.7871.x, mentre Chrome Beta per iOS arriva alla 150.0.7871.2 e viene distribuito tramite App Store. Questa sincronizzazione multipiattaforma è cruciale perché le vulnerabilità del browser non sono più un problema limitato alla workstation: smartphone e tablet gestiscono autenticazioni, sessioni aziendali, password manager, sistemi SSO, applicazioni web progressive e servizi finanziari. Anche ChromeOS riceve aggiornamenti significativi. Il canale Stable passa alla piattaforma 16640.57.0 con browser 148.0.7778.250 su gran parte dei dispositivi e su ChromeOS Flex, correggendo CVE-2026-43284, vulnerabilità high severity di Linux Local Privilege Escalation. Il canale Beta passa alla piattaforma 16667.35.0 con browser 149.0.7827.88, mantenendo coerenza con il ramo Chromium in avanzamento. Per scuole, aziende e pubbliche amministrazioni che usano Chromebook o ChromeOS Flex su hardware ricondizionato, questi aggiornamenti sono particolarmente importanti perché combinano sicurezza browser e sicurezza del sistema operativo in un’unica catena di manutenzione.

ChromeOS LTS corregge vulnerabilità critiche negli ambienti gestiti

La release ChromeOS Long Term Support LTS-144 144.0.7559.254, basata su piattaforma 16503.86.0, merita attenzione specifica perché interessa ambienti che privilegiano stabilità e supporto esteso rispetto alla rincorsa costante all’ultima build. Google applica 16 fix di sicurezza classificati tra high e critical, inclusi diversi use-after-free in componenti come Aura, GPU, WebCodecs, Network, Accessibility, Proxy, Extensions e PerformanceManager. Tra le vulnerabilità più gravi rientrano CVE-2026-9887, criticità use-after-free in Proxy, e CVE-2026-9873, use-after-free in Network. Questo tipo di bug è particolarmente sensibile perché può condurre a corruzione della memoria, esecuzione di codice o bypass di meccanismi di isolamento se concatenato con altre vulnerabilità. Per gli amministratori IT, la linea LTS è spesso adottata in ambienti regolati o ad alta prevedibilità, dove aggiornamenti troppo frequenti possono creare problemi applicativi. La presenza di vulnerabilità critiche anche in questo ramo conferma però che il supporto esteso non significa immobilità: significa ricevere patch mirate senza introdurre cambiamenti funzionali non necessari. La distinzione è importante, perché molti dispositivi aziendali e scolastici vengono mantenuti su canali conservativi proprio per ridurre regressioni, ma restano comunque esposti a exploit web, pagine malevole, documenti caricati nel browser e componenti multimediali vulnerabili.

Brave Origin risponde alla domanda di un browser privato senza componenti accessori

Con Brave Origin, Brave Software tenta una mossa insolita nel mercato browser: offrire una versione a pagamento e minimalista del proprio browser, progettata per chi vuole il nucleo privacy di Brave ma non desidera funzioni monetizzate, promozionali o percepite come superflue. Il prezzo indicato è 59,99 dollari una tantum, con attivazione fino a 10 dispositivi, mentre gli utenti Linux ricevono Origin gratuitamente. L’idea è eliminare dall’esperienza componenti come Brave Rewards, Brave Wallet, promozioni VPN, Leo AI, News, Talk, Tor e, su iOS, Playlist, mantenendo però Shields, blocco di tracker e advertising, velocità, aggiornamenti di sicurezza Chromium e modello open source alla base del browser. La proposta intercetta una richiesta reale: molti utenti scelgono Brave per privacy e protezione dai tracker, ma non apprezzano l’accumulo di funzionalità laterali che trasformano il browser in piattaforma. Origin diventa quindi un prodotto di sottrazione, non di aggiunta. La dimensione dell’eseguibile viene ridotta compilando fuori funzioni non essenziali, mentre ping di utilizzo e analytics privacy-preserving vengono disabilitati. In un mercato dominato da browser gratuiti finanziati da pubblicità, search deal, servizi cloud o ecosistemi commerciali, Brave prova a monetizzare una promessa diversa: pagare una volta per avere meno componenti, meno rumore e un’esperienza più vicina al concetto di browser essenziale.

Il modello premium di Brave punta su anonimato del pagamento e riduzione del bloat

La parte più delicata di Brave Origin non è soltanto la rimozione delle funzioni accessorie, ma il modo in cui Brave cerca di conciliare pagamento e privacy. Il sistema di attivazione utilizza un protocollo a blind token basato su Privacy Pass, pensato per ridurre la correlazione tra identità di pagamento e utilizzo del prodotto. Questa scelta è coerente con la narrativa privacy del browser, perché un prodotto “pulito” perderebbe credibilità se introducesse tracciamento forte nella fase di licenza. Origin resta comunque legato alla base Chromium, quindi eredita sia i vantaggi sia gli obblighi della manutenzione Chromium: patch rapide, compatibilità web elevata, aggiornamenti frequenti e dipendenza dalla sicurezza del motore sottostante. La versione gratuita di Brave resta invariata, ma Origin diventa una risposta agli utenti che considerano Wallet, Rewards, Leo AI, VPN, News e integrazioni simili come elementi non desiderati. Per aziende, sviluppatori e utenti Linux, il tema è particolarmente interessante: un browser con meno componenti opzionali può ridurre superficie di configurazione, possibili vettori di policy drift e rumore nelle verifiche di compliance. Non elimina i rischi tipici di Chromium, ma offre un profilo più semplice da valutare e da spiegare. Nel lungo periodo, il successo di Brave Origin dipenderà dalla disponibilità degli utenti a pagare per la sottrazione, cioè per un software che non promette più funzioni, ma meno interferenze.

Hola Browser espone un caso supply chain con miner XMRig

Il caso Hola Browser introduce una nota molto più problematica nel panorama di giugno 2026. Sophos X-Ops, durante una certificazione AppEsteem, identifica nella versione Hola Browser 1.251.91.0 un eseguibile inatteso chiamato me.exe, rinominato dagli analisti You Do Surprise Me.exe, poi classificato come miner basato su XMRig e scritto in Go. Il binario esegue un’esclusione da Windows Defender, copia se stesso in C:\Program Files\Hola\HolaMonitorService.exe e crea il servizio hola_monitor_svc, configurato per avviarsi automaticamente quando il sistema risulta inattivo. Sophos classifica il componente come Troj/GoMiner-B e PUA, mentre Hola sostiene che l’evento abbia interessato circa lo 0,1% degli utenti e derivi da un compromesso della pipeline di distribuzione, non da una backdoor intenzionale. L’azienda dichiara inoltre che non vi sarebbe stata esfiltrazione o compromissione di dati utente. Anche assumendo questa ricostruzione, il caso resta grave perché dimostra quanto una catena di distribuzione browser possa diventare vettore di payload indesiderati senza che l’utente compia azioni anomale. Il miner non sfrutta una vulnerabilità del browser per arrivare sul sistema: arriva insieme al software distribuito, installato e apparentemente legittimo, trasformando la fiducia nel vendor in vettore di esecuzione.

La risposta di Hola e l’indagine Sygnia mostrano il peso della distribuzione software

Dopo la scoperta del miner, Hola interrompe la pipeline difettosa, rimuove il componente e avvia una ricostruzione dell’infrastruttura di distribuzione con code-signing avanzato, controlli di accesso più rigorosi e monitoraggio continuo. L’azienda coinvolge Sygnia per un’indagine forense indipendente, che conferma la natura di incidente supply chain secondo la ricostruzione fornita. Il CEO Avi Raz Cohen ringrazia Sophos e AppEsteem per la collaborazione, ma il punto tecnico resta più ampio della singola risposta aziendale: il browser è un software ad altissima fiducia, spesso eseguito con privilegi sufficienti a modificare impostazioni, installare servizi, aggiornarsi automaticamente e interagire con dati sensibili. Quando la pipeline di distribuzione viene compromessa o produce artefatti non previsti, il danno potenziale supera quello di una comune applicazione desktop. Nel caso Hola, la presenza di un miner XMRig-based suggerisce un obiettivo economico immediato, basato sul consumo di CPU e risorse energetiche degli utenti, ma la stessa catena avrebbe potuto veicolare componenti di furto credenziali, loader o backdoor. Per questo l’incidente rafforza l’importanza di controlli indipendenti su build, firme, hash, aggiornamenti automatici e servizi installati, soprattutto per software distribuito su larga scala.

Le tre vicende mostrano tre lati della sicurezza browser nel 2026

Gli aggiornamenti Chrome, il lancio di Brave Origin e il caso Hola Browser raccontano tre dimensioni diverse della sicurezza browser nel 2026. La prima è la gestione industriale della vulnerabilità: Google deve correggere rapidamente centinaia di bug in componenti complessi e distribuire patch sincronizzate su desktop, mobile, ChromeOS e rami LTS. La seconda è la domanda di minimalismo: Brave prova a rispondere a utenti che vogliono privacy e protezioni anti-tracking senza funzioni accessorie, monetizzazioni visibili o componenti non essenziali. La terza è il rischio supply chain: Hola mostra che anche un browser apparentemente normale può diventare veicolo di un payload indesiderato se la pipeline di distribuzione viene compromessa o controllata in modo insufficiente. Per utenti esperti, sviluppatori e sysadmin, il messaggio operativo è chiaro: aggiornare Chrome e ChromeOS resta prioritario, valutare browser alternativi richiede attenzione non solo alle funzioni dichiarate ma anche al modello di distribuzione, e ogni software con update automatico deve essere considerato parte della superficie d’attacco. La sicurezza del browser non dipende più soltanto dal motore di rendering, ma dall’intera filiera che include patch management, componenti opzionali, telemetria, firma del codice, CDN, installer, servizi di update e capacità del vendor di reagire quando qualcosa entra nella build senza doverci essere.