Google ha rilasciato un aggiornamento di emergenza per Chrome che risolve due vulnerabilità critiche attivamente sfruttate. Le falle, classificate come CVE-2026-3909 e CVE-2026-3910, sono state corrette con il passaggio alla versione 146.0.7680.75/76 per Windows e macOS, e 146.0.7680.75 per Linux.
La gravità della situazione è confermata dal fatto che Google stessa ha scoperto e segnalato entrambe le vulnerabilità il 10 marzo, per poi distribuire la patch appena due giorni dopo. Una risposta rapida, ma che arriva mentre gli exploit circolano già attivamente.
Chiunque utilizzi una versione non aggiornata di Chrome è potenzialmente esposto a compromissioni del sistema semplicemente navigando su una pagina web manipolata ad hoc.
Le due vulnerabilità nel dettaglio
La prima falla riguarda Skia, la libreria grafica open-source responsabile del rendering dei contenuti web e degli elementi dell’interfaccia. Si tratta di un bug di tipo “out-of-bounds write” che può portare al crash del browser o, nel caso peggiore, all’esecuzione di codice arbitrario.
La seconda vulnerabilità coinvolge invece V8, il motore JavaScript e WebAssembly di Chrome, ed è classificata come un’implementazione inappropriata. Entrambe ricadono nella categoria “High severity”, la più grave prima della “Critical”. Colpisce il fatto che V8 sia nuovamente nel mirino. Si tratta di un componente storicamente bersagliato dai ricercatori di sicurezza, proprio per la sua complessità e per l’ampiezza della superficie d’attacco che espone.
Un 2026 già intenso per la sicurezza di Chrome
Queste sono la seconda e la terza vulnerabilità zero-day sfruttate attivamente corrette da Google dall’inizio del 2026. La prima, CVE-2026-2441, riguardava un bug di invalidazione di iteratori in CSSFontFeatureValuesMap ed era stata risolta a metà febbraio.
Il trend è in linea con quello dell’anno precedente. Nel 2025, Google ha complessivamente corretto otto zero-day sfruttati in natura, molti dei quali individuati dal Threat Analysis Group interno.
Vale la pena sottolineare che Google mantiene volutamente riservati i dettagli tecnici degli exploit finché la maggior parte di chi usa il browser non ha ricevuto l’aggiornamento. Una prassi consolidata per evitare di fornire ulteriori strumenti ai potenziali attaccanti.
Chrome: la finestra di rischio si misura in ore
In situazioni come questa, il tempo che intercorre tra la divulgazione pubblica e un attacco su larga scala si misura in ore, non in giorni. Sebbene Google avverta che la distribuzione potrebbe richiedere giorni o settimane per raggiungere tutti, la patch era già immediatamente disponibile al momento della verifica manuale.
Puoi forzare l’aggiornamento adesso, senza aspettare che Chrome lo proponga in automatico. Il percorso da seguire è Impostazioni → Guida → Informazioni su Google Chrome, dopodiché avvia il controllo manuale.
Per Android è disponibile la versione 146.0.76380.115 tramite il Play Store. Per iOS, l’aggiornamento è atteso nei prossimi giorni sull’App Store. Chi gestisce un parco macchine aziendale dovrebbe considerare questo aggiornamento una priorità immediata di patching, poiché le conseguenze di un sistema compromesso tramite browser vanno ben oltre la perdita di dati personali.
