Google ha distribuito un aggiornamento di sicurezza d’urgenza per correggere la terza vulnerabilità zero-day dell’anno in Chrome.
“Google è a conoscenza dell’esistenza di un exploit per CVE-2025-5419 già attivamente sfruttato in rete”, ha comunicato l’azienda nel relativo avviso di sicurezza.
Indice degli argomenti
I dettagli della vulnerabilità zero-day in Chrome
La vulnerabilità, classificata come ad alta gravità, deriva da una debolezza di lettura e scrittura fuori dai limiti (“Out-of-bounds”) nel motore JavaScript e WebAssembly V8 di Chrome, segnalata una settimana fa da Clement Lecigne e Benoît Sevens del Threat Analysis Group di Google.
Così come riportato nel National Vulnerability Database (NVD) del NIST, “la lettura e scrittura fuori limite in V8 nelle versioni di Google Chrome precedenti alla 137.0.7151.68 consente a un attaccante remoto di sfruttare potenzialmente la corruzione dell’heap attraverso una pagina HTML appositamente realizzata”.
Secondo quanto dichiarato dalla stessa Google, il problema è stato mitigato il giorno successivo attraverso una modifica di configurazione implementata nel canale Stable su tutte le piattaforme Chrome.
Come aggiornare Google Chrome
L’azienda ha ora risolto definitivamente la zero-day con il rilascio delle versioni 137.0.7151.68/.69 per Windows/Mac e 137.0.7151.68 per Linux, che verranno distribuite agli utenti del canale Desktop Stable nelle prossime settimane.
Benché Chrome si aggiorni automaticamente quando sono disponibili nuove patch di sicurezza, gli utenti possono accelerare il processo accedendo al menu di Chrome cliccando sul pulsante con i tre puntini in alto a destra.
Quindi, nel menu contestuale che appare è sufficiente cliccare su Guida/Informazioni su Google Chrome e attendere il completamento dell’aggiornamento del browser.
Al termine, è sufficiente cliccare sul pulsante Riavvia per installarlo immediatamente.
Dettagli riservati fino alla diffusione delle patch
Nonostante Google abbia già confermato lo sfruttamento attivo di CVE-2025-5419, non verranno condivise informazioni aggiuntive riguardo questi attacchi fino a quando il maggior numero possibile di utenti non avrà applicato le patch ai propri browser.
“L’accesso ai dettagli del bug e ai collegamenti potrebbe rimanere limitato fino a quando la maggioranza degli utenti non sarà aggiornata con una correzione”, ha specificato Google. “Manterremo inoltre le restrizioni qualora il bug esista in una libreria di terze parti da cui dipendono similmente altri progetti, ma che non hanno ancora implementato una correzione”.
Questa pratica mira a garantire che la maggioranza degli utenti installi la correzione prima che altri attori malevoli possano unirsi alla campagna di sfruttamento.
Bilancio delle vulnerabilità zero-day del 2025
Questa rappresenta la terza vulnerabilità zero-day di Chrome dall’inizio dell’anno, con altre due corrette nei mesi di marzo e maggio.
La prima, una falla ad alta gravità per l’evasione della sandbox (CVE-2025-2783) scoperta da Boris Larin e Igor Kuznetsov di Kaspersky, è stata utilizzata per distribuire malware in attacchi di spionaggio mirati contro organizzazioni governative russe e testate giornalistiche.
L’azienda ha rilasciato un altro set di aggiornamenti di sicurezza d’emergenza a maggio per correggere una zero-day di Chrome che avrebbe potuto consentire agli attaccanti di impossessarsi degli account in seguito a uno sfruttamento riuscito.
