La sicurezza informatica è un tema sempre più caldo, soprattutto quando si parla della protezione dei sistemi e dell’integrità dei dati. Recentemente, Google ha rilasciato un aggiornamento per il suo browser Chrome per risolvere una vulnerabilità zero-day ad alta criticità, identificata con il codice CVE-2025-2783. Questa falla, scoperta dai ricercatori di Kaspersky, ha attirato l’attenzione nel mondo della sicurezza poiché già sfruttata da criminali informatici in attacchi mirati, in particolare contro organizzazioni russe.
Indice dei contenuti
La vulnerabilità CVE-2025-2783 e la sua gravità
La vulnerabilità corretta, CVE-2025-2783, deriva da un errore nella gestione degli handle all’interno di Mojo, un sistema di comunicazione interprocesso utilizzato da Chrome. In circostanze specifiche, il browser può fornire referenze non valide o insufficientemente protette, permettendo a un attaccante di superare le limitazioni di sicurezza stabilite dalla sandbox di Chrome. Questo espone le risorse del sistema operativo a potenziali accessi non autorizzati. La scoperta della vulnerabilità ha generato preoccupazione tra esperti di sicurezza e utenti, considerata la sua capacità di consentire l’esecuzione di codice malevolo sui sistemi delle vittime.
Seguici su Google News
Ricevi i nostri aggiornamenti direttamente nel tuo feed di
notizie personalizzato
Seguici ora
L’aggiornamento per la sicurezza di Chrome
Google ha agito rapidamente per rilasciare un aggiornamento per il browser Chrome, disponibile per gli utenti del canale Stable Desktop con la versione 134.0.6998.178 su Windows. Gli utenti possono verificare la versione del loro browser accedendo alla sezione di aiuto nelle impostazioni di Chrome . Questo passo è cruciale, poiché Google ha confermato che esistono già exploit attivi che sfruttano la vulnerabilità; di conseguenza, hanno preferito limitare i dettagli tecnici fino a quando non sarà garantito il maggior numero possibile di aggiornamenti.
La mancanza di informazioni dettagliate ha lasciato alcune domande senza risposta riguardo le circostanze specifiche in cui l’errore di gestione degli handle si presenta. Tuttavia, i ricercatori concordano sul fatto che la gravità della situazione richiede un aggiornamento urgente per proteggere gli utenti e i loro dati.
Campagna “Operation ForumTroll” di Kaspersky
Kaspersky ha fornito ulteriori dettagli sull’attacco utilizzante questa vulnerabilità attraverso una campagna di phishing conosciuta come “Operation ForumTroll”. Gli aggressori hanno inviato email fraudulentemente formulate come inviti a un forum per esperti intitolato “Primakov Readings“. Questi messaggi miravano a istituzioni governative, accademiche e media russi, inoltrando i destinatari verso un dominio compromesso. È un chiaro esempio di come le vulnerabilità possono essere sfruttate non solo per infiltrarsi nei sistemi, ma anche per attaccare direttamente gli utenti attraverso tecniche di ingegneria sociale.
Ulteriori analisi hanno rivelato l’uso di un secondo exploit capace di eseguire codice remoto sui dispositivi infetti. Benché i dettagli relativi a questa seconda vulnerabilità rimangano oscuri, l’aggiornamento di Chrome è fondamentale per interrompere la catena di attacchi e ridurre significativamente il rischio di compromissione.
L’importanza della sicurezza nei browser
CVE-2025-2783 è il primo zero-day corretto da Google nel 2025 e segue un elenco di dieci vulnerabilità critiche affrontate nel 2024, alcune delle quali erano già state sfruttate in attacchi reali o dimostrate durante il contest di hacking Pwn2Own. Questo incidente sottolinea un punto cruciale: la necessità di aggiornamenti tempestivi per i browser web è vitale per proteggere gli utenti da minacce sempre più sofisticate e pericolose.
A livello globale, la sicurezza informatica continua a essere una priorità, con aziende e utenti che devono rimanere vigili e pronti ad attuare misure di protezione efficaci. La tempestività nell’aggiornare software e applicazioni diventa un’arma fondamentale nella lotta contro gli attacchi informatici, consentendo di mantenere la sicurezza dei sistemi e l’integrità delle informazioni personali.
