Chrome 148: Google patcha 151 falle, 22 critiche
Chrome 148 corregge 151 vulnerabilità con 22 criticità massime. Google distribuisce oltre $130.000 in bounty. Il volume triplicato da marzo mette pressione sul…
Contenuto
Google ha rilasciato questa settimana Chrome 148, un aggiornamento che risolve 151 vulnerabilità di sicurezza, di cui 22 a criticità massima. Il dato segna un'accelerazione preoccupante: a partire da fine marzo 2026, il numero di falle corrette per ogni release è più che triplicato, con oltre 350 issue affrontate complessivamente in questa versione. La maggior parte delle vulnerabilità critiche sono use-after-free nel rendering engine e nei componenti di sistema, con potenziale esecuzione di codice remoto e escape dalla sandbox di Chrome.
- Chrome 148 corregge 151 vulnerabilità: 22 critiche, 123 di severità alta, 6 medie
- Le use-after-free dominano le criticità massime e possono abilitare RCE e sandbox escape
- Google ha pagato oltre $130.000 in bug bounty per 10 flaw segnalati da ricercatori esterni, con due premi massimi da $43.000
- Il volume di patching è cresciuto in modo sostenuto da fine marzo 2026, con oltre 350 issue complessive in Chrome 148
Le cinque CVE pubbliche: dove colpisce la criticità massima
Tra le 22 vulnerabilità a criticità massima, la fonte ne identifica cinque con CVE assegnate, tutte legate a memory safety bugs in componenti core del browser.
CVE-2026-9872 è un out-of-bounds write nel componente GPU, remunerato con $43.000. CVE-2026-9873 è una use-after-free nel Network stack, con identico bounty. Seguono CVE-2026-9874 (use-after-free in Dawn, il motore WebGPU), CVE-2026-9875 (out-of-bounds read in WebGL) e CVE-2026-9876 (use-after-free in WebGL). Il pattern è coerente: quattro delle cinque falle pubbliche sono memory corruption, tre esplicitamente use-after-free.
I $43.000 massimi indicano severità eccezionale secondo la scala di Google. Il totale di oltre $130.000 per sole 10 vulnerabilità esterne — il resto delle 151 è stato scoperto internamente — suggerisce che il vendor sta investendo risorse significative per incentivare la divulgazione coordinata di bug ad alta gravità.
"Most of the critical-severity vulnerabilities patched with the latest Chrome update are use-after-free bugs. This type of memory safety issues could allow attackers to achieve remote code execution and to escape Chrome's sandbox and potentially compromise the entire system." — SecurityWeek
Il motore di rendering sotto stress: perché le use-after-free tornano
Le use-after-free non sono una novità in Chromium, ma la loro concentrazione nelle componenti GPU, WebGL e Network è rilevante. Queste aree gestiscono input arbitrari da remoto — shader grafici, pacchetti di rete, istruzioni WebGL — con complessità di parsing che amplifica la superficie d'attacco.
Il meccanismo è classico: un puntatore a memoria deallocata viene riutilizzato, consentendo a un attaccante di scrivere o leggare oltre i confini allocati. Nel contesto di Chrome, dove il rendering avviene in processi sandboxati, la concatenazione con una seconda vulnerabilità di privilege escalation può portare all'escape. La fonte specifica esplicitamente questo scenario come "potentially compromise the entire system", senza tuttavia documentare exploit attivi o tecniche di concatenazione specifiche.
L'assenza di dettagli sulle 123 vulnerabilità high-severity limita la lettura del rischio residuo. La fonte non classifica le tipologie di queste falle, né fornisce CVE associate.
L'inflazione del patching: da marzo il ritmo è triplicato
"Starting in late March, the number of vulnerabilities resolved with each update has increased significantly, with over 350 issues addressed in Chrome 148 alone, this update included." Questa crescita sostenuta, documentata dalla fonte, solleva domande sulla natura dell'input.
Ipotesi plausibili, non verificate nel brief: l'adozione di strumenti di vulnerability discovery automatizzati — fuzzer potenziati da modelli linguistici o analisi statica su larga scala — può generare un flusso di segnalazioni che sovraccarica i cicli di rilascio. Google non ha dichiarato ufficialmente questo legame, e il dossier lo marca esplicitamente come non confermato. Ciò che è documentato è l'output: più bug trovati, più patch distribuite, più pressione sui team enterprise che gestiscono il rollout.
La fonte non specifica se l'aumento derivi da maggiore scoperta, maggiore divulgazione o riorganizzazione interna del processo di classificazione. Manca inoltre un dato comparativo con il trend storico di Chromium prima di marzo 2026.
Perché è importante
Il dossier non documenta misure correttive specifiche raccomandate da Google per gli utenti enterprise o consumer. La fonte non elenca azioni di hardening, configurazioni di mitigazione o policy di aggiornamento automatico da attivare.
Ciò che il brief rende noto è il rischio tecnico: 22 falle critiche con meccanismo documentato di RCE e sandbox escape, distribuite a una base di utenti stimata in oltre 3 miliardi. Il volume insolitamente elevato di 151 vulnerabilità per singola release, in crescita da fine marzo, implica che i team di sicurezza aziendale devono monitorare il ciclo di patching con attenzione maggiore rispetto al periodo pre-marzo.
La fonte non specifica se l'aggiornamento sia già rollout completo o in distribuzione graduale, né fornisce date di disponibilità per i canali Extended Stable. ChromeOS 148, documentato separatamente dalla fonte 6 come release "security and maintenance" senza feature utente, conferma l'allineamento temporale ma non condivide componenti di sicurezza con il browser desktop.
Il brief non indica la presenza di exploit in-the-wild per nessuna delle 151 vulnerabilità, né documenta se le cinque CVE pubbliche siano state divulgate in anticipo rispetto alla patch.
Il dossier non elenca inoltre gli importi bounty per le 8 vulnerabilità esterne rimanenti tra le 10 totali, né chiarisce se tutte le 151 falle abbiano identificatore CVE assegnato o solo le cinque critiche con bounty noto.
FAQ
- Chrome 148 è disponibile per tutte le piattaforme contemporaneamente?
- Le versioni specifiche riportate dalla fonte sono 148.0.7778.216/217 per Windows, 148.0.7778.215/216 per macOS e 148.0.7778.215 per Linux. Non è documentato se il rollout sia simultaneo o graduale per canale.
- Perché solo 10 vulnerabilità su 151 hanno bounty noto?
- La maggior parte delle falle è stata scoperta internamente da Google, come specificato dalla fonte. I $130.000 totali riguardano esclusivamente le segnalazioni esterne, con due premi massimi da $43.000 ciascuno.
- L'aumento delle vulnerabilità è collegato all'uso di AI da parte di Google?
- Il dossier non documenta questa correlazione. L'ipotesi è citata come angolo giornalistico, non come dichiarazione del vendor o come fatto verificato.
Il dato più significativo resta l'accelerazione strutturale: tre mesi di crescita costante nel volume di patching, con Chrome 148 come punto più alto. Se il trend persiste, le organizzazioni dovranno calibrare i propri cicli di gestione degli aggiornamenti su una frequenza di esposizione maggiore rispetto al 2025, indipendentemente dalle cause sottostanti della scoperta.
Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.
Fonti
- https://www.securityweek.com/chrome-148-update-patches-151-vulnerabilities/
- https://unit42.paloaltonetworks.com/high-risk-gen-ai-browser-extensions/
- https://cyberscoop.com/zapier-bug-chain-account-takeover-patched/
- https://unit42.paloaltonetworks.com/captive-portal-zero-day/
- https://unit42.paloaltonetworks.com/tracking-tampered-chef-clusters/
- https://www.ghacks.net/2026/05/26/chromeos-148-rolls-out-as-security-and-maintenance-release-ahead-of-chromeos-150-lts-baseline/
- https://ads.securityweek.com/getad.img/;libID=5273454