0831 1811268

Falla di sicurezza zero day in Google Chrome usata per attacchi informatici

· news

Questa vulnerabilità, l’ottava di tipo zero-day risolta quest’anno, è stata definita di gravità alta e risiede in un componente chiamato ANGLE che permette l’esecuzione di codice arbitrario

Falla di sicurezza zero day in Google Chrome usata per attacchi informatici
[In pillole] La sintesi per chi va di fretta:

Google ha rilasciato un aggiornamento d'emergenza per Chrome per risolvere una vulnerabilità zero-day, l'ottava del 2025. Identificata come CVE-2025-14174 e di gravità alta, la falla è già attivamente sfruttata dagli hacker. Il problema, localizzato nel componente ANGLE, può permettere l'esecuzione di codice malevolo, rendendo cruciale l'aggiornamento immediato del browser per tutti gli utenti.

Google ha distribuito un aggiornamento di sicurezza definito “d’emergenza” per il suo browser Chrome, utilizzato da miliardi di persone in tutto il mondo.

La ragione è la scoperta di una vulnerabilità di tipo “zero-day”, un termine che nel gergo della sicurezza informatica indica una falla che è già nota e attivamente sfruttata da aggressori informatici prima che l’azienda produttrice del software abbia avuto il tempo di sviluppare e distribuire una soluzione.

Si tratta dell’ottava vulnerabilità di questo tipo risolta da Google solo nel corso di quest’anno, un dato che suggerisce una pressione costante e crescente sui sistemi di sicurezza del browser più diffuso al mondo.

La falla di sicurezza, identificata con il codice CVE-2025-14174, è considerata di gravità “alta”.

Questo significa che, se sfruttata, potrebbe consentire a un malintenzionato di eseguire codice arbitrario sul computer della vittima, potenzialmente prendendone il controllo o installando software dannoso.

L’aspetto più problematico di queste situazioni è che, per cadere vittima di un attacco, potrebbe essere sufficiente visitare una pagina web appositamente preparata, senza bisogno di compiere altre azioni o scaricare consapevolmente dei file.

Google, come sua abitudine in questi casi, ha mantenuto uno stretto riserbo sui dettagli tecnici dell’attacco e su chi lo stia conducendo, una scelta motivata dalla volontà di non fornire ulteriori informazioni a chi potrebbe tentare di replicare l’aggressione.

Tuttavia, le poche informazioni disponibili delineano un problema tecnico piuttosto specifico e una tendenza ormai consolidata.

Che cosa è successo, di preciso

La vulnerabilità risiede in un componente specifico di Chrome chiamato ANGLE (Almost Native Graphics Layer Engine), una libreria software che funziona come una sorta di “traduttore”. Il suo compito è convertire i comandi grafici dello standard OpenGL ES, molto usato nel web e sui dispositivi mobili, in comandi comprensibili dai sistemi operativi come Windows, macOS e Linux.

La condivisione di tali standard grafici tra ecosistemi diversi suggerisce che simili vulnerabilità nella gestione della memoria potrebbero replicarsi altrove, imponendo standard di controllo rigorosi anche nello sviluppo di applicazioni mobile che fanno uso intensivo di rendering nativo.

Il problema si verifica nel modo in cui ANGLE gestisce la memoria quando elabora determinate immagini su computer macOS. In sostanza, un errore di calcolo delle dimensioni di un’area di memoria (un “buffer”) può portare il programma a scrivere dati al di fuori dello spazio che gli è stato assegnato.

Questa condizione, nota come out-of-bounds memory access, è una delle cause più comuni di vulnerabilità software. Si può pensare a un magazziniere a cui viene detto di riempire uno scaffale che può contenere dieci scatole, ma per un errore di calcolo gliene vengono consegnate dodici. Le due scatole in più finirebbero fuori posto, creando disordine e potenziali incidenti.

Nel mondo del software, questo “disordine” può corrompere la memoria del programma, causandone l’arresto anomalo o, nei casi peggiori, creando un’apertura che un aggressore può sfruttare per inserire ed eseguire le proprie istruzioni.

La soluzione, come sempre in questi casi, è un aggiornamento: Google ha rilasciato la versione 143.0.7499.109/.110 per Windows e macOS e 143.0.7499.109 per Linux, che corregge l’errore di calcolo.

Il fatto che anche un componente così tecnico e apparentemente nascosto possa diventare un punto di ingresso per degli attacchi la dice lunga sulla complessità del software che usiamo ogni giorno. Ma il vero problema non è tanto la natura specifica di questa falla, quanto la sua appartenenza a una serie sempre più lunga di incidenti simili, che disegna un quadro piuttosto preoccupante sulla sicurezza generale di Chrome.

UIUX

L’ottava falla dell’anno

Quello di CVE-2025-14174 non è un evento isolato, ma l’ultimo di una catena di otto vulnerabilità zero-day che hanno interessato Chrome nel corso del 2025. Questa frequenza solleva qualche interrogativo sulla capacità di Google di blindare un prodotto che, di fatto, è la principale porta di accesso a internet per la maggior parte della popolazione mondiale.

Molti degli attacchi precedenti si sono concentrati su un altro componente fondamentale di Chrome, il motore JavaScript V8, il cuore che esegue il codice delle pagine web interattive. In più occasioni, aggressori sono riusciti a sfruttare falle nel V8 per “evadere” dalla cosiddetta “sandbox”, l’ambiente protetto in cui il browser isola le pagine web per impedire loro di accedere al resto del sistema operativo.

Questa serie di incidenti suggerisce l’esistenza di gruppi di aggressori molto sofisticati, probabilmente legati a operazioni di spionaggio statale o a gruppi criminali con grandi risorse, che dedicano tempo e sforzi a studiare il codice di Chrome per trovare nuovi punti deboli. D’altronde, con una base di utenti stimata in oltre 3,4 miliardi di persone, una singola falla efficace offre un potenziale di attacco quasi illimitato.

– Leggi anche: Flexiv lancia FMR 300 la base mobile che libera i robot dai bulloni

Anche il Threat Analysis Group (TAG) di Google, il team interno che si occupa di monitorare le minacce più avanzate, ha scoperto e segnalato alcune di queste vulnerabilità, a conferma che l’azienda si trova in una perenne e difficile rincorsa contro avversari molto abili.

Questa situazione porta a una riflessione più ampia: la continua aggiunta di nuove funzionalità e la crescente complessità di un software come Chrome, se da un lato ne migliorano l’esperienza d’uso, dall’altro ne espandono inevitabilmente la “superficie d’attacco”, offrendo sempre nuove possibili crepe da sfruttare.

La domanda che sorge spontanea è se il ritmo dell’innovazione sia sostenibile dal punto di vista della sicurezza e se un prodotto di tale diffusione non richieda un approccio alla progettazione ancora più cauto e conservativo.

La risposta di Google e le implicazioni per tutti

La risposta di Google, come quella di ogni grande azienda tecnologica in questi casi, segue un protocollo consolidato. L’aggiornamento è stato rilasciato rapidamente, accompagnato da una comunicazione essenziale. L’azienda ha confermato l’esistenza di uno sfruttamento attivo della falla, ma ha limitato i dettagli per non favorire altri malintenzionati.

L’importanza della questione è stata sottolineata anche dalla CISA, l’agenzia per la sicurezza informatica del governo statunitense, che ha inserito la vulnerabilità nel suo catalogo di minacce note e ha imposto a tutte le agenzie federali di installare la patch entro il 2 gennaio 2026.

Oltre alla falla principale, l’ultimo aggiornamento di Chrome ne risolve altre due di gravità media, scoperte grazie al programma di “bug bounty”, attraverso cui Google ricompensa economicamente i ricercatori di sicurezza che segnalano privatamente i problemi che trovano. In questo caso sono stati pagati 2.000 dollari per ciascuna segnalazione.

Se da un lato questi programmi sono uno strumento utile per migliorare la sicurezza, la loro esistenza e il continuo flusso di scoperte, comprese le zero-day trovate direttamente “sul campo” dagli aggressori, dimostrano come il processo di revisione interno, per quanto esteso, non sia mai sufficiente.

Per chi usa Chrome, l’implicazione più diretta è la necessità di mantenere il browser costantemente aggiornato, un’operazione che di solito avviene in automatico ma che è sempre bene verificare.

Tuttavia, la questione più profonda riguarda la fiducia.

Ci affidiamo a un piccolo gruppo di aziende per la quasi totalità della nostra vita digitale, dando per scontato che i loro prodotti siano sicuri. Episodi come questo ci ricordano che la sicurezza assoluta non esiste e che la struttura su cui si regge gran parte di internet è soggetta a una continua tensione tra chi la costruisce e chi cerca di incrinarla.

L’ottava falla dell’anno non è solo un problema tecnico per Google, ma un promemoria della fragilità di un sistema che è diventato, per tutti, semplicemente indispensabile.

Dalle parole al codice?

Informarsi è sempre il primo passo ma mettere in pratica ciò che si impara è quello che cambia davvero il gioco. Come software house crediamo che la tecnologia serva quando diventa concreta, funzionante, reale. Se pensi anche tu che sia il momento di passare dall’idea all’azione, unisciti a noi.

Parlaci del tuo progetto

[Consigliati]

Flexiv lancia FMR 300 la base mobile che libera i robot dai bulloni

Flexiv lancia FMR 300 la base mobile che libera i robot dai bulloni

Flexiv ha presentato l'FMR 300, una base mobile autonoma capace di trasportare bracci robotici e carichi fino a 270 kg. La tecnologia utilizza sensori di forza invece della visione artificiale per compensare gli errori di posizionamento, permettendo lavorazioni precise in stazioni multiple. Questa soluzione mira a ottimizzare i flussi produttivi riducendo la dipendenza da macchinari fissi.

OpenAI dichiara Codice Rosso e cambia i piani per sfidare Google

OpenAI dichiara Codice Rosso e cambia i piani per sfidare Google

Sam Altman ha dichiarato un code red in OpenAI per rispondere alla rapida ascesa di Google Gemini. L azienda ha congelato progetti secondari e pubblicità per concentrarsi sul rendere ChatGPT un assistente personale indispensabile. L obiettivo strategico è creare un abitudine di utilizzo quotidiana negli utenti e difendere la propria posizione di mercato minacciata dal rivale di Mountain View.

[Altre storie]

DeepSeek rovescia il duopolio dell’IA: efficienza batte potenza bruta

DeepSeek rovescia il duopolio dell’IA: efficienza batte potenza bruta

DeepSeek ha sconvolto il duopolio dell'IA con i suoi modelli V3.2 e Speciale, che eguagliano o superano GPT-5 e Gemini 3.0 Pro. L'azienda cinese dimostra che l'efficienza algoritmica, non solo la potenza bruta, è la chiave. Questo ha generato incertezza a Wall Street, mettendo in discussione i massicci investimenti infrastrutturali e aprendo nuove prospettive per l'accesso globale all'IA avanzata.

Albiriox: il Malware-as-a-Service che trasforma il crimine digitale in un abbonamento

Albiriox, un nuovo malware per Android, è emerso come servizio in abbonamento, trasformando il crimine informatico in un settore. Venduto a 650-720 dollari al mese, permette il controllo remoto dei dispositivi, aggirando le sicurezze bancarie tramite VNC e abusi dei servizi di accessibilità. Questo 'Malware-as-a-Service' (MaaS) punta a oltre 400 app finanziarie, democratizzando le frodi e rivelando la crescente sofisticazione del mercato nero digitale. La sua diffusione si basa sull'ingegneria sociale.

Gartner: gli agenti di intelligenza artificiale gestiranno il 90 per cento degli acquisti B2B entro il 2028

Secondo Gartner, entro il 2028 gli agenti di intelligenza artificiale intermediaranno il 90% degli acquisti B2B, per oltre 15 trilioni di dollari. Questa previsione delinea una trasformazione radicale del commercio aziendale, spostando il potere decisionale dagli umani agli algoritmi. Sebbene prometta efficienza, solleva interrogativi su impatto occupazionale, reale produttività e sfide regolamentari, richiedendo alle aziende un'integrazione strategica.

Agenti AI: perché Amazon Web Services sta plasmando il mercato da 50 miliardi di dollari

Amazon Web Services (AWS) sta rivoluzionando il settore degli agenti AI, investendo massicciamente e posizionando la sua piattaforma come marketplace centrale. Il mercato globale è proiettato a superare i 50 miliardi di dollari entro il 2030, con AWS che mira a plasmarne l'adozione. Questi sistemi autonomi gestiscono compiti complessi, ma la loro rapida diffusione solleva interrogativi etici e di controllo.

L’automazione industriale accelera in Nord America: ordini robot record nel 2025, ma la crescita è complessa

Nel terzo trimestre 2025, il Nord America ha registrato un'impennata negli ordini di robot industriali: 8.806 unità (+12%) per 574 milioni di dollari (+17%). L'Associazione A3 evidenzia una rinnovata fiducia nell'automazione, spinta da settori non automobilistici e grandi produttori. La crescita è complessa, influenzata da carenza di manodopera e reshoring, con i cobot che ridefiniscono il rapporto uomo-macchina.

Xiaomi e i robot umanoidi: il piano quinquennale per le fabbriche del futuro

Il fondatore di Xiaomi, Lei Jun, ha annunciato l'impiego su larga scala di robot umanoidi nelle fabbriche entro i prossimi cinque anni. Questo piano ambizioso mira a trasformare la manifattura con l'intelligenza artificiale incarnata, posizionando Xiaomi all'avanguardia. Nonostante le sfide del settore robotico cinese, l'azienda scommette sulla rapida maturazione tecnologica per un futuro più automatizzato e versatile.

La corsa dell’Europa all’Intelligenza Artificiale Sovrana: una missione complicata

L'Europa sta intraprendendo una corsa strategica per sviluppare un'intelligenza artificiale sovrana, considerandola cruciale per l'autonomia economica e geopolitica. Nonostante ambiziosi investimenti in infrastrutture nazionali, il continente affronta sfide complesse come la frammentazione, la dipendenza dai semiconduttori, la fuga dei cervelli e il costo dell'energia, interrogandosi sulla vera portata di questa sovranità.

Il manifatturiero italiano tra stabilità e incertezze: crescita modesta nel 2025, ma addio anticipato a Transizione 5.0

Il manifatturiero italiano si avviava verso una modesta crescita nel 2025, ma l'improvvisa chiusura anticipata del programma Transizione 5.0 blocca migliaia di piani d'investimento. La decisione, dovuta a una drastica riduzione dei fondi, crea profonda incertezza sulle politiche industriali e la fiducia delle imprese, mettendo a rischio la modernizzazione del settore proprio quando più necessaria.

Le audaci previsioni di Sam Altman sull’AGI: tra promessa e incognite per il futuro dell’umanità

Sam Altman, CEO di OpenAI, predice l'arrivo di un'Intelligenza Artificiale Generale (AGI) "sorprendentemente potente" entro il decennio, capace di superare l'intelligenza umana. Questa visione ambiziosa solleva dibattiti sulle implicazioni socio-economiche e la necessità di governance. L'articolo esplora la sua prospettiva sugli "agenti" IA e l'urgenza di un controllo internazionale per assicurare che lo sviluppo dell'AGI sia allineato con il benessere dell'umanità.

Teniamoci in [contatto]

Inserisci i dati richiesti per poter ricevere il nostro company profile e tutte le informazioni sulla nostra azienda.



    info@algomera.it
    (+39) 0831 1811268
    Brindisi

    Via Raffaele Rubini 12, Brindisi

    Milano

    Via Luigi Russolo 9, Milano

    Rovigo

    Via Maestri del Lavoro 7E, Rovigo

    Prime Agency Srl

    È un marchio registrato e di proprietà della PRIME AGENCY SRL | P.IVA e CF: 02607220742

    Copyright © 2026 Algòmera è un marchio di propietà della Prime Agency srl.

    LeFonti Awards
    Partner 24Ore
    AssoSoftware
    Google Partner
    BACK TO TOP