Google Chrome CVE-2026-11645: zero-day nel motore V8 sfruttato in rete, quinto del 2026

Con un aggiornamento d'emergenza rilasciato il 9 giugno 2026 Google ha corretto la CVE-2026-11645, una vulnerabilità di tipo out-of-bounds nel motore JavaScript V8 di Chrome (l'ACN la classifica come out-of-bounds read). La falla, con CVSS pari a 8.8, consente a un attaccante remoto di eseguire codice arbitrario all'interno del browser inducendo la vittima a visitare una pagina HTML appositamente costruita. È una delle vulnerabilità chiuse nell'aggiornamento, che secondo l'ACN ne corregge diverse, di cui 17 a gravità critica.

Google ha confermato l'esistenza di un exploit in the wild, trattenendo come di consueto i dettagli tecnici fino alla diffusione della patch. Si tratta del quinto zero-day di Chrome sfruttato attivamente nel 2026, dopo le CVE-2026-2441, CVE-2026-3909, CVE-2026-3910 e la CVE-2026-5281 (use-after-free nel componente Dawn/WebGPU) trattata nel bollettino precedente. La vulnerabilità era stata segnalata il 27 aprile 2026 da un ricercatore indicato come "303f06e3", premiato con una bug bounty di 55.000 dollari, come riportato da The Hacker News e Help Net Security.

La superficie di rischio è enorme e trasversale: riguarda chiunque utilizzi Chrome non aggiornato e, data la base di codice comune, i browser derivati da Chromium (Edge, Brave, Opera, Vivaldi), molto presenti su postazioni di PA e PMI. Trattandosi di esecuzione di codice via semplice visita a una pagina, l'aggiornamento va trattato come prioritario.

• Versioni affette: Google Chrome precedente alla 149.0.7827.102/.103 per Windows/Mac e alla 149.0.7827.102 per Linux; per estensione i browser basati su Chromium non ancora allineati.
• Azione raccomandata: aggiornare Chrome all'ultima versione su Windows, Mac e Linux e riavviare il browser per applicare la correzione; verificare e aggiornare anche gli altri browser Chromium-based.

Fonti: ACN, The Hacker News, SOC Radar