CVE-2026-11645: La Quinta Vulnerabilità Zero-Day di Chrome Sfruttata nel 2026

Dettagli e Tempistiche della Patch

La patch d'emergenza è stata distribuita per il canale "Stable Desktop" l'8 giugno 2026, come parte di un aggiornamento più ampio che corregge ben 74 vulnerabilità di sicurezza in un'unica soluzione . Google ha confermato che un exploit per CVE-2026-11645 "esiste in circolazione" ("in the wild"), il che rende questo un aggiornamento urgente e obbligatorio per chiunque usi Chrome su computer desktop .

Le versioni corrette sono:

• Windows e macOS: Chrome 149.0.7827.102 / 149.0.7827.103
• Linux: Chrome 149.0.7827.102

Come da prassi per gli aggiornamenti stabili di Chrome, la correzione viene distribuita progressivamente nell'arco di giorni e settimane. Gli utenti possono comunque attivare manualmente l'aggiornamento andando su Menu Chrome (tre puntini in alto a destra) > Aiuto > Informazioni su Google Chrome.

Bug Bounty e Segnalazione

Un ricercatore di sicurezza anonimo, conosciuto con lo pseudonimo di "303f06e3", ha scoperto e segnalato la vulnerabilità a Google il 27 aprile 2026 . Google ha corrisposto una taglia (bug bounty) di 55.000 dollari per la scoperta, in linea con i riconoscimenti previsti dal Chrome Vulnerability Rewards Program per i bug di corruzione della memoria in V8 ad alto impatto .

Il Quadro Generale degli Zero-Day di Chrome nel 2026

Con CVE-2026-11645, salgono a cinque le vulnerabilità zero-day attivamente sfruttate e corrette in Chrome solo nel 2026 . Ecco l'elenco completo:

• CVE-2026-2441 (Febbraio 2026): Una falla "use-after-free" (uso dopo liberazione della memoria) nel processore CSS di Chrome. Consentiva l'esecuzione di codice remoto nella sandbox tramite pagine HTML create ad arte .
• CVE-2026-3909 (12 Marzo 2026): Una vulnerabilità di scrittura fuori dai limiti in Skia, la libreria grafica 2D che è alla base della visualizzazione delle pagine in Chrome .
• CVE-2026-3910 (12 Marzo 2026): Un bug di implementazione inappropriata in V8, corretto nello stesso aggiornamento di CVE-2026-3909 .
• CVE-2026-5281 (1 Aprile 2026): Una vulnerabilità "use-after-free" in Dawn, l'implementazione multipiattaforma di WebGPU di Chrome. La CISA (l'agenzia americana per la cybersicurezza) l'aveva aggiunta al suo catalogo di vulnerabilità sfruttate, con una scadenza per le agenzie federali per applicare la patch .
• CVE-2026-11645 (Giugno 2026): La vulnerabilità di lettura/scrittura fuori dai limiti in V8 oggetto di questo aggiornamento d'emergenza .

Tutte e cinque le vulnerabilità sono state confermate come sfruttate in attacchi reali prima del rilascio delle patch. Un andamento che mette il 2026 sulla buona strada per superare il numero totale di zero-day di Chrome degli anni precedenti, esercitando una pressione costante sui team IT per velocizzare i cicli di aggiornamento del browser .

Cosa Fare Subito

Chrome in genere si aggiorna automaticamente in background, ma la distribuzione automatica può richiedere giorni per raggiungere tutti gli utenti. Per una protezione immediata:

1. Apri Chrome.
2. Clicca sul menu con i tre puntini in alto a destra.
3. Seleziona Aiuto > Informazioni su Google Chrome.
4. Il browser verificherà la presenza di aggiornamenti e li installerà automaticamente.

Dopo l'aggiornamento, il numero di versione dovrà essere 149.0.7827.102 o superiore su Windows e Linux e 149.0.7827.103 o superiore su macOS .

Le aziende che gestiscono distribuzioni di Chrome dovrebbero verificare che tutti i computer aziendali ricevano l'ultima versione stabile e prendere in considerazione l'accelerazione delle tempistiche di distribuzione per questa patch fuori programma. Lo stato di comprovato sfruttamento in attacchi reali significa che qualsiasi sistema con una versione precedente di Chrome è esposto ad attacchi.