Google Chrome: due zero-day sfruttati attivamente in Skia e V8, terzo caso nel 2026

Google ha rilasciato un aggiornamento urgente per Chrome il 13 marzo portando il browser alla versione 146.0.7680.75/76, correggendo due vulnerabilità zero-day già sfruttate prima del rilascio della patch. Le CVE coinvolte sono CVE-2026-3909 (CVSS 8.8), un out-of-bounds write nella libreria grafica Skia, e CVE-2026-3910 (CVSS 8.8), un'implementazione impropria nel motore JavaScript V8. Entrambe consentono a un attaccante remoto di eseguire codice arbitrario inducendo la vittima a visitare una pagina HTML malevola.

Secondo The Hacker News, Google ha dichiarato esplicitamente di essere a conoscenza dell'esistenza di exploit in the wild per entrambe le CVE. I dettagli tecnici restano riservati per limitare la diffusione degli exploit. La CISA ha aggiunto entrambe le vulnerabilità al catalogo KEV il 13 marzo, con scadenza di remediation al 27 marzo per le agenzie federali. Si tratta del terzo zero-day attivamente sfruttato in Chrome dall'inizio del 2026, dopo CVE-2026-2441 (use-after-free in CSS, febbraio 2026).

Le vulnerabilità V8 sono particolarmente appetibili perché attivabili semplicemente visitando un sito web, senza ulteriori privilegi o interazione dell'utente. The Register sottolinea come bug di questo tipo, in librerie condivise come Skia o V8, possano impattare anche altri prodotti basati su Chromium.
​

Versioni affette: Google Chrome < 146.0.7680.75 (Windows/Linux), < 146.0.7680.75/76 (macOS).
Azione raccomandata: aggiornare Chrome e riavviare il browser immediatamente.

Fonti: ACN, TheHackerNews, The Register