Nota sulle fonti: Le informazioni tecniche di questo articolo derivano da analisi di Penligent su citazioni di Chrome Releases e NVD, non da advisory Google diretto. Le citazioni da HelpNetSecurity riportano dichiarazioni dell'advisory Google.
Google ha rilasciato il 8 giugno 2026 una patch critica per CVE-2026-11645, vulnerabilità zero-day nel motore JavaScript V8 di Chrome attivamente sfruttata in attacchi reali. Il bug permette esecuzione di codice arbitrario dentro la sandbox del renderer tramite una pagina HTML malevola. Per le agenzie federali statunitensi, CISA ha fissato al 23 giugno 2026 la scadenza obbligatoria per la remediation.
La notizia non riguarda solo Chrome: ogni ecosistema che dipende da Chromium — da Electron alle applicazioni CEF, dai browser derivati — eredita la stessa superficie d'attacco senza seguire necessariamente il canale di aggiornamento automatico di Google.
- Google conferma che un exploit per CVE-2026-11645 è attivo in the wild; la patch è disponibile dal 8 giugno 2026 nelle versioni Stable 149.0.7827.102/.103
- Il bug è un out-of-bounds read/write nel motore V8, con CVSS 8.8 HIGH secondo il record NVD arricchito da CISA-ADP
- CISA ha inserito la vulnerabilità nel catalogo KEV il 9 giugno 2026 con due date al 23 giugno per le agenzie federali
- La dipendenza invisibile da Chromium in applicazioni third-party espande il perimetro di rischio oltre il browser desktop
Come funziona l'attacco: V8 come ingresso
Secondo il record ufficiale NVD per CVE-2026-11645, la vulnerabilità consiste in un out-of-bounds read and write nel motore JavaScript V8 di Google Chrome nelle versioni precedenti alla 149.0.7827.103. Un attaccante remoto può raggiungere il bug inducendo l'utente a caricare una crafted HTML page, con conseguente esecuzione di codice arbitrario all'interno della sandbox del renderer.
Il motore V8 è il componente che compila ed esegue JavaScript in Chrome. La sua superficie d'attacco è vasta: ogni sito web, ogni estensione, ogni applicazione web progressiva interagisce con V8. La combinazione di accessibilità da remoto (AV:N nella stringa CVSS), bassa complessità di attacco (AC:L) e necessità di sola interazione utente (UI:R) rende il vettore praticamente universale per chi naviga con una versione non aggiornata.
La restrizione "in sandbox" delimita il perimetro di azione immediato. Il renderer compromesso opera entro confini architetturali che isolano il processo dal sistema operativo. Il brief non documenta tecniche di sandbox escape associate a questa specifica vulnerabilità.
"Out of bounds read and write in V8 in Google Chrome prior to 149.0.7827.103 allowed a remote attacker to execute arbitrary code inside a sandbox via a crafted HTML page" — NVD, CVE-2026-11645
Timeline e cifre: un bug che vale 55.000 dollari
La vulnerabilità è stata segnalata a Google il 27 aprile 2026 da un ricercatore anonimo — identificato come 303f06e3 — e ha ricevuto un bug bounty di $55.000. La disclosure responsabile ha coperto un intervallo di quasi sette settimane tra report e rilascio pubblico della patch.
Nello stesso aggiornamento del 8 giugno 2026, Google ha risolto 74 vulnerabilità complessive. Secondo l'advisory citato da HelpNetSecurity, Google ha intenzionalmente limitato i dettagli tecnici durante il rollout: "Access to bug details and links may be kept restricted until a majority of users are updated with a fix". Questa pratica standard mira a rallentare la reverse engineering da parte di attori malevoli.
Con CVE-2026-11645, il conteggio dei zero-day Chrome nel 2026 sale a cinque, dopo CVE-2026-2441, CVE-2026-3909, CVE-2026-3910 e CVE-2026-5281. Il pattern suggerisce pressione sostenuta sulla codebase V8 e sul renderer di Chrome.
Cosa fare adesso: verificare il fleet, non fidarsi dell'auto-update
Il gap tra patch rilasciata e browser effettivamente protetto è il punto cieco che questo caso espone. Chrome distribuisce aggiornamenti automatici, ma il processo richiede il riavvio del browser. Sessioni lasciate aperte per giorni, terminali VDI con utenti che non chiudono mai il profilo, macchine in standby: tutti questi scenari lasciano il processo renderer esposto.
Per le organizzazioni, le priorità sono tre:
Verificare la versione installata su tutti gli endpoint. Le versioni target sono 149.0.7827.102/.103 per Windows e macOS, 149.0.7827.102 per Linux. Chrome Enterprise fornisce strumenti di gestione centralizzata.
Imporre il riavvio dei browser entro finestre di manutenzione definite. In ambienti VDI e terminal server, il riavvio diventa un'azione gestita che richiede coordinamento con il service desk.
Mappare le dipendenze invisibili da Chromium. Applicazioni Electron, framework CEF, browser derivati incorporano V8 senza seguire il canale di aggiornamento di Google. Il brief non documenta casi specifici di CI/CD compromessi, ma la logica del rischio suggerisce che ambienti con Chrome headless per test automatizzati condividono la stessa superficie d'attacco se non aggiornati autonomamente.
Cosa sappiamo
I fatti documentati sono solidi. CISA ha aggiunto CVE-2026-11645 al catalogo KEV il 9 giugno 2026 con due date al 23 giugno 2026. Il CVSS 3.1 CISA-ADP è 8.8 HIGH con vettore AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H. Google conferma l'esistenza di exploit in the wild. La patch è disponibile nelle versioni Stable specificate.
Cosa resta fuori dalla luce
Il brief non documenta: identità dell'attaccante o gruppo APT; vettore di consegna specifico oltre a "crafted HTML page"; presenza o meno di sandbox escape associato; settori o vittime specifiche; payload finale e obiettivi post-exploitation; root cause tecnica precisa nel codice V8; disponibilità pubblica di PoC o IOC; data esatta di inizio dello sfruttamento in the wild.
Google mantiene i dettagli tecnici ristretti durante il rollout. Questa scelta rallenta la ricerca difensiva basata su indicatori specifici, ma è coerente con la pratica standard di gestione zero-day.
Il segnale dietro il rumore
Cinque zero-day in sei mesi non è un'anomalia statistica: è la misura di quanto il browser sia diventato infrastruttura critica. V8 non è più un componente tecnico: è il punto dove il codice malevolo incontra i dati dell'utente, dove una pagina HTML divetta può compromettere sessioni attive e memoria residente.
La deadline CISA del 23 giugno è un segnale istituzionale, ma il problema reale è più banale: milioni di istanze Chrome aggiornate sulla carta, non riavviate da giorni, con il renderer ancora vulnerabile. La patch esiste. La protezione no, fino al riavvio.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://www.penligent.ai/hackinglabs/cve-2026-11645-chrome-v8-zero-day/
- https://socprime.com/blog/cve-2026-11645-chrome-zero-day-vulnerability-exploited-in-the-wild/
- https://www.helpnetsecurity.com/2026/06/09/google-chrome-zero-day-cve-2026-11645/
- https://nvd.nist.gov/vuln/detail/CVE-2026-11645
- https://securityaffairs.com/193371/hacking/google-fixes-fifth-actively-exploited-chrome-zero-day-of-2026.html
- https://www.penligent.ai/hackinglabs/cve-2026-11645/
- https://nvd.nist.gov/vuln/detail/CVE-2026-2441?utm_source=chatgpt.com
- https://nvd.nist.gov/vuln/detail/cve-2026-5281?utm_source=chatgpt.com
- https://nvd.nist.gov/vuln/detail/CVE-2026-3910
- https://support.google.com/chrome/a/answer/6350036?hl=en&utm_source=chatgpt.com