Google pubblica exploit di Chrome prima della patch
Topic
Approfondimenti
Trending
tutti

Google pubblica exploit di Chrome prima della patch

Google ha pubblicato per errore l'exploit per una vulnerabilità di Chrome (e altri browser basati su Chromium) che era stata considerata risolta.
Google pubblica exploit di Chrome prima della patch
Sicurezza
Google ha pubblicato per errore l'exploit per una vulnerabilità di Chrome (e altri browser basati su Chromium) che era stata considerata risolta.
Google AI Studio
Aggiungi Punto Informatico come Fonte preferita su Google

Google ha pubblicato per errore il codice di un exploit per Chrome che permette di eseguire codice remoto sul dispositivo. Sfrutta una vulnerabilità, attualmente senza patch, presente in tutti i browser basati su Chromium, quindi anche in Microsoft Edge. Era stata segnalata nel 2022 e l’azienda di Mountain View aveva considerato risolto il problema di sicurezza.

Exploit pubblico, ma non c’è la patch

La vulnerabilità era stata segnalata dalla ricercatrice Lyra Rebane a dicembre 2022. A fine ottobre 2024, uno sviluppatore Google ha notato che il problema non era stato risolto. Lo scorso 20 maggio sono state rimosse le restrizioni di accesso al thread sul Chromium Issue Tracker perché era stata distribuita la patch. In realtà, la ricercatrice ha verificato che la vulnerabilità è ancora presente.

Google ha quindi pubblicato il codice dell’exploit per errore. L’accesso al thread è stato nuovamente bloccato, ma ormai “i buoi sono fuggiti dalla stalla”. L’exploit verrà quasi certamente utilizzato per attacchi informatici, a meno che Google non rilasci una patch nei prossimi giorni.

La vulnerabilità riguarda Browser Fetch, uno standard che consente il download dei file di grandi dimensioni in background (anche quando la scheda e il browser sono chiusi). I cybercriminali devono solo nascondere nelle pagine web un codice JavaScript che apre un “service worker” (ad esempio una richiesta di download) che rimane sempre attivo. In pratica funziona come una backdoor.

Questa connessione persistente può essere sfruttata per aggiungere il dispositivo ad una botnet e quindi usarlo per attacchi DDoS. L’exploit permette inoltre di creare proxy anonimi, redirezionare il traffico verso siti infetti o monitorare l’attività online degli utenti. Chi usa Edge è più a rischio perché nella finestra di download non viene mostrato nulla. Al successivo riavvio del browser non appare più la finestra.

La vulnerabilità non consente però di aggirare le protezioni dei browser e di accedere ai file del sistema operativo. Google ha promesso che rilascerà una patch in tempi brevi (dopo quasi 42 mesi).

Fonte: Ars Technica

Pubblicato il 22 mag 2026

Link copiato negli appunti

Ti potrebbe interessare

Usa la foto di un neonato malato: medico multato dal Garante

Usa la foto di un neonato malato: medico multato dal Garante
Chiusa First VPN: era usata per attacchi ransomware

Chiusa First VPN: era usata per attacchi ransomware
GitHub svela nuovi dettagli sul furto del codice interno

GitHub svela nuovi dettagli sul furto del codice interno
La migliore VPN costa meno (-80%): 28 mesi di utilizzo a un prezzo super

La migliore VPN costa meno (-80%): 28 mesi di utilizzo a un prezzo super
Usa la foto di un neonato malato: medico multato dal Garante

Usa la foto di un neonato malato: medico multato dal Garante
Chiusa First VPN: era usata per attacchi ransomware

Chiusa First VPN: era usata per attacchi ransomware
GitHub svela nuovi dettagli sul furto del codice interno

GitHub svela nuovi dettagli sul furto del codice interno
La migliore VPN costa meno (-80%): 28 mesi di utilizzo a un prezzo super

La migliore VPN costa meno (-80%): 28 mesi di utilizzo a un prezzo super
Luca Colantuoni
Pubblicato il
22 mag 2026
Link copiato negli appunti