Segui 
Le vulnerabilità zero-day di Chrome continuano a rappresentare un rischio significativo per i difensori informatici. All’inizio di quest’anno, Google ha corretto CVE-2026-2441, la prima vulnerabilità zero-day di Chrome attivamente sfruttata del 2026. Ora, è stato rilasciato un altro aggiornamento di emergenza, che risolve due ulteriori difetti già sfruttati nel mondo reale, CVE-2026-3910 nel motore JavaScript e WebAssembly V8 di Chrome e CVE-2026-3909, un bug di scrittura fuori dai limiti in Skia.
Google descrive CVE-2026-3910 come un problema di implementazione inappropriata in Chrome V8. In sostanza, una pagina HTML appositamente costruita può consentire a un attaccante remoto di eseguire codice arbitrario all’interno del sandbox del browser.
L’ultima patch di emergenza di Chrome arriva in un contesto di crescenti minacce zero-day. Il Google Threat Intelligence Group ha monitorato 90 vulnerabilità zero-day sfruttate nel mondo reale nel 2025, in aumento rispetto alle 78 del 2024, e ha rilevato che le tecnologie aziendali hanno rappresentato 43 casi, ovvero un record del 48% di sfruttamento osservato.
Registrati per la piattaforma AI-Native Detection Intelligence di SOC Prime, supportata da tecnologie all’avanguardia ed esperti di sicurezza informatica di primo livello per superare le minacce informatiche e costruire una postura di sicurezza informatica resiliente. Clicca Esplora le Rilevazioni per accedere alla collezione completa di contenuti SOC per la rilevazione di exploit di vulnerabilità, filtrata per il tag personalizzato “CVE”.
Le rilevazioni del set di regole dedicato possono essere applicate su oltre 40 piattaforme SIEM, EDR e Data Lake e sono mappate all’ultima MITRE ATT&CK® versione 18.1. I team di sicurezza possono anche sfruttare Uncoder AI per accelerare l’ingegneria della rilevazione end-al-fine generando regole direttamente da rapporti sulle minacce in tempo reale, affinando e convalidando la logica di rilevazione, auto-visualizzando i Flow degli Attacchi, convertendo le IOC in query personalizzate di caccia, e traducendo istantaneamente il codice di rilevazione tra diversi formati di linguaggio. converting IOCs into custom hunting queries, and instantly translating detection code across diverse language formats.
Analisi di CVE-2026-3910
Secondo l’avviso di sicurezza di Google, CVE-2026-3910 è una vulnerabilità ad alta gravità in V8, il motore JavaScript e WebAssembly utilizzato da Chrome. Può essere attivata attraverso una pagina HTML realizzata e può consentire l’esecuzione di codice arbitrario all’interno del sandbox del browser. Poiché V8 elabora i contenuti attivi durante la normale navigazione, lo sfruttamento può iniziare con qualcosa di semplice come visitare un sito web malevolo o compromesso.
Il rischio è significativo perché Chrome è profondamente integrato nel lavoro quotidiano delle imprese. Un difetto di V8 attivamente sfruttato può trasformare la normale navigazione in un percorso per il furto di credenziali, la consegna di codice dannoso, o un compromesso più ampio, specialmente quando combinato con altri bug o phishing.
Google ha confermato che CVE-2026-3910 è sfruttato nel mondo reale, ma non ha pubblicato dettagli tecnici sulla catena di sfruttamento.
Lo stesso aggiornamento di Chrome ha anche risolto CVE-2026-3909, una vulnerabilità ad alta gravità di scrittura fuori dai limiti nella libreria grafica Skia. Google afferma che il difetto è anch’esso sfruttato nel mondo reale. Poiché colpisce un altro componente principale del browser ed è stato risolto nello stesso rilascio di emergenza, le organizzazioni dovrebbero applicare l’aggiornamento completo senza ritardi piuttosto che concentrarsi solo su CVE-2026-3910.
Mitigazione di CVE-2026-3910
La mitigazione raccomandata è aggiornare immediatamente Chrome all’ultima build Stable Channel patchata. Google afferma che le versioni desktop corrette sono 146.0.7680.75 e 146.0.7680.76 per Windows e macOS e 146.0.7680.75 per Linux. Poiché Google ha confermato lo sfruttamento nel mondo reale, le organizzazioni dovrebbero dare la priorità all’aggiornamento su tutti i dispositivi degli impiegati, le workstation degli amministratori, e i sistemi condivisi utilizzati per la navigazione.
Le organizzazioni che utilizzano browser basati su Chromium come Microsoft Edge, Brave, Opera e Vivaldi dovrebbero anche monitorare le patch fornite dai rispettivi produttori, poiché quei prodotti possono ereditare esposizioni dalla stessa base di codice sottostante.
Inoltre, sfruttando la piattaforma AI-Native Detection Intelligence di SOC Prime supportata dall’esperienza di difesa informatica di alto livello, le organizzazioni globali possono adottare una postura di sicurezza resiliente e trasformare il loro SOC per restare sempre un passo avanti rispetto alle minacce emergenti legate allo sfruttamento zero-day.
FAQ
Cosa è CVE-2026-3910 e come funziona?
CVE-2026-3910 è una vulnerabilità ad alta gravità nel motore JavaScript e WebAssembly V8 di Chrome. Google la descrive come un difetto di implementazione inappropriata che può essere attivato con una pagina HTML costruita e consente a un attaccante remoto di eseguire codice arbitrario all’interno del sandbox del browser.
Quando è stato scoperto per la prima volta CVE-2026-3910?
L’avviso di Google dice che la vulnerabilità è stata segnalata il 10 marzo 2026.
Qual è l’impatto di CVE-2026-3910 sui sistemi?
Il rischio principale è che contenuti web malevoli potrebbero attivare l’esecuzione di codice all’interno del sandbox del browser Chrome. In attacchi reali, ciò può trasformare la navigazione di routine in un punto di accesso per il furto di credenziali, la consegna di malware, o un ulteriore compromesso se abbinato ad altre tecniche.
CVE-2026-3910 può ancora influenzarmi nel 2026?
Sì. Qualsiasi installazione di Chrome che non è stata ancora aggiornata alla build patchata potrebbe essere ancora esposta. Google esplicitamente afferma che sfruttamenti per CVE-2026-3910 esistono nel mondo reale.
Come posso proteggermi da CVE-2026-3910?
Aggiorna Chrome alla versione 146.0.7680.75 o 146.0.7680.76 su Windows e macOS o 146.0.7680.75 su Linux, quindi riavvia il browser per assicurarti che la build patchata stia funzionando. Le organizzazioni che utilizzano alternative basate su Chromium dovrebbero applicare le correzioni fornite dai produttori non appena diventano disponibili.
