Google ha rilasciato oggi 17 settembre 2025 un aggiornamento d’emergenza per Chrome che corregge CVE-2025-10585, un zero-day nel motore V8 (JavaScript/WebAssembly) già sfruttato in attacchi reali. Il team Google Threat Analysis Group (TAG) ha identificato l’attività di sfruttamento in ambiente reale intorno al 16 settembre e ha forzato un rilascio rapido della patch per limitare l’impatto. La falla è un problema di type confusion all’interno di V8: in pratica il motore può interpretare un valore in memoria come se fosse di un tipo diverso, permettendo la corruzione della memoria e, se opportunamente combinata con altri salti di privilegio o bypass della sandbox, la potenziale esecuzione di codice remoto. Poiché V8 esegue JavaScript e WebAssembly, l’exploit può essere innescato tramite contenuto web malevolo — una pagina o uno script appositamente costruito, un annuncio compromesso (malvertising) o file HTML/JS manipolati — rendendo la finestra di esposizione concreta per tutti gli utenti che non hanno ancora aggiornato. Google ha classificato la vulnerabilità come critica e, per motivi di sicurezza, ha limitato i dettagli tecnici al momento del rilascio fino a quando la patch non fosse stata ampiamente distribuita.
Le versioni interessate sono le build di Chrome precedenti alle release di emergenza: le build aggiornate rilasciate a partire da oggi 17 settembre sono le stable 140.0.7339.185/.186 per Windows e macOS e 140.0.7339.185 per Linux. Tutti gli utenti desktop che eseguono versioni precedenti devono aggiornare immediatamente (verificare in chrome://settings/help e riavviare il browser per completare l’installazione). Browser basati su Chromium (Edge, Opera, Brave, ecc.) condividono il motore V8 e potrebbero essere vulnerabili; pertanto i vendor derivati devono rilasciare propri aggiornamenti e occorre monitorare gli advisory ufficiali di ciascun fornitore.
Lo scenario di sfruttamento tipico prevede che un attaccante controlli o riesca a inserire contenuti web malevoli visitati dalla vittima: uno script o un modulo WebAssembly appositamente costruito scatena la type confusion in V8, provoca corruzione di memoria e, se il chain exploit include anche un bypass del sandbox o un bug addizionale, porta all’esecuzione di codice sul sistema della vittima. Questo rende la vulnerabilità pericolosa sia per singoli endpoint sia per ambienti enterprise: link mirati via spear-phishing, campagne di malvertising su reti pubblicitarie compromesse o siti compromessi possono essere vettori efficaci. Poiché esistono conferme di exploit in the wild, la priorità per i SOC, i team IT e i CERT è elevata.
Le mitigazioni immediate consigliate sono: aggiornare Chrome alla versione corretta il prima possibile e riavviare il browser; per le organizzazioni, applicare gli aggiornamenti tramite i propri strumenti di gestione centralizzata (WSUS, MDM, soluzioni di patch management) e accelerare il rollout per endpoint critici dopo aver eseguito i test necessari; limitare l’esecuzione di contenuti non fidati utilizzando Content Security Policy, disabilitando WebAssembly in contesti particolarmente sensibili quando possibile, o utilizzando estensioni e configurazioni che riducono l’esposizione a contenuti esterni; monitorare log e crash del processo Chrome/V8 per rilevare anomalie e configurare regole EDR/IDS che possano individuare comportamenti tipici di exploit JavaScript/WASM (heap-spraying, allocazioni anomale, esecuzioni ripetute di codice non firmato); verificare le regole degli strumenti di sicurezza e aggiornare le watchlist con CVE-2025-10585. Per i team SOC/CERT interni è consigliabile inserire la CVE nelle proprie watchlist, creare o aggiornare rilevazioni in EDR/siem per crash anomali del renderer di Chrome e cercare indicatori di compromissione correlati (URL sospetti, firme di exploit note quando disponibili). Prioritizzare gli aggiornamenti per endpoint con accesso a dati sensibili o privilegi elevati.
L’impatto diretto è la potenziale Remote Code Execution sul dispositivo della vittima che visita il contenuto malevolo; l’impatto organizzativo comprende il rischio di compromissione di sistemi critici, esfiltrazione di dati e pivoting interno se l’exploit viene combinato con ulteriori vulnerabilità a livello di sistema o con credenziali compromesse. Dal punto di vista operativo, molte organizzazioni dovrebbero rivedere priorità e procedure di patching per garantire che le release di emergenza come questa vengano valutate e distribuite in tempi ristretti.
Come best practice complementare, conviene monitorare i feed ufficiali (releases di Chrome, advisory dei CERT nazionali e dei vendor di sicurezza) per eventuali dettagli tecnici che Google rilascerà quando la diffusione della patch lo permetterà. Se vengono pubblicati PoC o dettagli tecnici, i team di sicurezza dovrebbero valutare prontamente indicatori di compromissione pubblicati e aggiornare regole e signature. I dettagli tecnici completi potrebbero rimanere riservati inizialmente per evitare che vengano sfruttati in massa prima che la maggioranza degli utenti sia aggiornata.
L’azione più urgente e concreta per tutti gli utenti e le organizzazioni è verificare la versione di Chrome e aggiornare immediatamente alle build rilasciate oggi il 17 settembre 2025 (o successive). I vendor di browser derivati devono altresì rilasciare patch; fino ad allora mantenere un atteggiamento difensivo — limitare WebAssembly in contesti sensibili, rafforzare le policy di contenuto e aumentare il monitoraggio dei processi browser — riduce il rischio.
Commenti
Posta un commento