Il quarto zero-day di Chrome in meno di tre mesi. Non è un’anomalia: è un segnale che qualcosa di strutturale sta cambiando nel modo in cui i browser vengono attaccati. Il 1° aprile 2026, Google ha rilasciato una patch d’emergenza per CVE-2026-5281, una vulnerabilità use-after-free nel componente Dawn — lo stesso layer già colpito poche settimane prima — attivamente sfruttata in attacchi reali. Contemporaneamente, la CISA aggiungeva il CVE al suo catalogo delle vulnerabilità note sfruttate (KEV), con scadenza per le agenzie federali fissata al 15 aprile 2026. Non c’è tempo da perdere: se stai usando Chrome, aggiorna adesso.
Dawn e WebGPU: il nuovo fronte degli attacchi browser
Dawn è il componente open-source di Chromium che implementa la specifica WebGPU — l’API moderna per l’accesso accelerato alla GPU direttamente dal browser. Progettato per portare potenza di calcolo grafica alle applicazioni web, Dawn si è rivelato un punto di ingresso critico nel 2026.
CVE-2026-5281 è una use-after-free nel layer Dawn. In questo tipo di vulnerabilità, il software accede a un’area di memoria dopo che questa è già stata liberata, aprendo la strada a corruzione della memoria e — nel caso peggiore — esecuzione di codice arbitrario. Nel contesto pratico: un attaccante che abbia già compromesso il processo renderer di Chrome può sfruttare questa falla per muoversi lateralmente verso il sistema operativo, tramite una pagina HTML appositamente costruita.
Le versioni colpite sono quelle precedenti alla 146.0.7680.178 su Windows e macOS, e alla 146.0.7680.177 su Linux. La stessa patch corregge altri 20 bug di sicurezza, segnale di quanto fosse urgente l’aggiornamento. Tutti i browser basati su Chromium — Edge, Brave, Opera, Vivaldi — sono potenzialmente esposti finché i rispettivi vendor non distribuiscono la propria versione della patch.
Un pattern che si ripete: tre vulnerabilità Dawn in cinque settimane
Quello che rende CVE-2026-5281 particolarmente preoccupante non è la singola vulnerabilità, ma il pattern che sta emergendo. Il 23 marzo 2026, Google aveva già rilasciato una patch d’emergenza per due falle critiche: CVE-2026-4675, un heap buffer overflow in WebGL, e CVE-2026-4676, un’altra use-after-free in Dawn. Tutti e tre i CVE — incluso il nuovo — sono stati scoperti dallo stesso ricercatore che opera sotto pseudonimo.
Questo dettaglio è significativo. Un singolo ricercatore ha individuato tre vulnerabilità zero-day nello stesso sottosistema in meno di due mesi. Due interpretazioni possibili: o Dawn è un componente con una densità di bug molto alta, o c’è qualcuno particolarmente focalizzato su questa superficie d’attacco. In entrambi i casi, il messaggio per il team di sicurezza di Google è chiaro: Dawn richiede un audit sistematico e profondo.
Con CVE-2026-5281, siamo al quarto zero-day di Chrome nel 2026. Per avere un termine di paragone: secondo i dati storici di Google Project Zero, nel 2024 Chrome aveva totalizzato 10 zero-day nell’intero anno. Se il ritmo attuale dovesse mantenersi, potremmo avvicinarci o superare quella cifra entro l’estate del 2026.
Fortinet FortiClient EMS: CVSS 9.1 e attacchi dal 31 marzo
Chrome non è l’unico teatro di guerra di questa settimana. Il 6 aprile 2026, la stessa CISA ha aggiunto al KEV catalog anche CVE-2026-35616, una vulnerabilità critica in FortiClient EMS (Endpoint Management Server) di Fortinet — con CVSS score di 9.1.
La falla, scoperta da Simo Kohonen di Defused Cyber e da Nguyen Duc Anh, è classificata come improper access control (CWE-284): consente a un attaccante non autenticato di bypassare l’autenticazione API e inviare richieste crafted per eseguire codice o comandi arbitrari sul server. Non servono credenziali. Non serve interazione utente. Basta raggiungere l’endpoint esposto in rete.
I log di honeypot indicano che i primi tentativi di sfruttamento risalgono al 31 marzo 2026, prima ancora del rilascio della patch ufficiale. Le versioni colpite sono FortiClient EMS 7.4.5 e 7.4.6. Fortinet ha rilasciato un hotfix d’emergenza, con la patch completa prevista nella versione 7.4.7. CISA ha imposto alle agenzie federali una deadline di remediation al 9 aprile 2026 — tre giorni dopo l’inserimento nel KEV — una scadenza insolitamente stretta che riflette il livello di rischio valutato.
Docker Engine CVE-2026-34040: quando il fix precedente non bastava
La settimana è resa ancora più complicata da CVE-2026-34040, una vulnerabilità con CVSS score di 8.8 in Docker Engine. La particolarità di questo CVE è il suo backstory: è un fix incompleto per CVE-2024-41110, una falla scoperta nel 2024 e teoricamente già corretta. La nuova vulnerabilità consente a un attaccante di bypassare i plugin di autorizzazione di Docker in circostanze specifiche.
I plugin di autorizzazione sono lo strato che i team DevOps usano per implementare controlli di accesso granulari sulle operazioni container. Un bypass di questi meccanismi può tradursi nella possibilità di avviare container privilegiati, montare il filesystem dell’host, o esfiltrare segreti e credenziali. In ambienti di produzione cloud-native, l’impatto potenziale è elevato.
La lezione scomoda che emerge: i fix di sicurezza non sono sempre definitivi. Una patch del 2024 considerata conclusiva si è rivelata parziale. Questo impone una revisione periodica anche delle vulnerabilità già “chiuse” nel backlog della propria organizzazione.
36 pacchetti npm falsi: la supply chain di Strapi sotto attacco
Sul fronte della sicurezza della catena di fornitura del software, i ricercatori hanno identificato questa settimana 36 pacchetti malevoli nel registry npm, mascherati da plugin legittimi per Strapi CMS — il popolare sistema headless di gestione dei contenuti. I payload variano a seconda del pacchetto:
- Distribuzione di reverse shell persistenti sul sistema della vittima
- Raccolta e esfiltrazione di credenziali
- Deploy di implant per il mining di criptovalute
- Arruolamento dei sistemi compromessi in botnet per proxy e ulteriori attacchi
Questo tipo di attacco è particolarmente insidioso perché colpisce gli sviluppatori in una fase considerata “sicura”: l’installazione di dipendenze da un registry ufficiale. Un npm install eseguito senza verificare firme o checksum può introdurre backdoor nel codice di produzione in modo silenzioso, potenzialmente mesi prima che vengano rilevate. La raccomandazione è di usare npm audit sistematicamente, verificare la storia e la popolarità dei pacchetti prima dell’installazione, e adottare lock file verificati nei pipeline CI/CD.
Medusa ransomware e la guerra alla sanità
A completare il quadro settimanale, i ricercatori di sicurezza hanno confermato una campagna attribuita a un threat actor cinese che ha adottato il ransomware Medusa per attacchi “high-velocity” contro organizzazioni del settore sanitario, educativo, finanziario e dei servizi professionali. La caratteristica distintiva è la combinazione di vulnerabilità zero-day e N-day — falle già note ma non ancora patchate — sfruttate in rapida successione per massimizzare la velocità di penetrazione.
La sanità rimane il settore più colpito dagli attacchi ransomware per una ragione strutturale: la pressione a ripristinare i sistemi il più velocemente possibile — per garantire continuità delle cure — rende le organizzazioni sanitarie statisticamente più propense a pagare il riscatto. Medusa sfrutta questa leva in modo sistematico. Secondo i dati di settore, il costo medio di un attacco ransomware contro una struttura sanitaria supera i 10 milioni di dollari tra riscatto, downtime operativo e costi di recovery.
La mia lettura
La settimana appena trascorsa ha messo in fila quattro CVE critici, 36 pacchetti malevoli su npm e una campagna ransomware attiva contro ospedali. Ma il dato che mi preoccupa di più non è la singola vulnerabilità: è il ritmo. Quattro zero-day su Chrome in tre mesi. Due falle su Dawn nello stesso ciclo di patch. Una remediation del 2024 che si rivela incompleta nel 2026. Stiamo assistendo a un’accelerazione del ciclo attacco-patch che i difensori faticano a sostenere.
C’è un problema strutturale sottostante: la superficie d’attacco si espande più velocemente della capacità collettiva di proteggerla. Dawn e WebGPU sono la dimostrazione perfetta — tecnologie relativamente nuove, necessarie per le applicazioni web moderne, introdotte nei browser con una densità di bug che richiederà anni di audit per essere ridotta. Lo stesso vale per Docker Engine, per le dipendenze npm, per le API di gestione endpoint come FortiClient EMS. Ogni nuova funzionalità è anche una nuova superficie esposta.
La domanda che rivolgo a chi gestisce infrastrutture critiche è questa: nel vostro ciclo di patch management, avete una procedura per revisionare fix già applicati? CVE-2026-34040 dimostra che “abbiamo già patchato questo” non è sempre una risposta sufficiente. Il debito tecnico nella sicurezza si accumula in silenzio, e si presenta sempre nel momento meno opportuno — tipicamente quello in cui un attaccante ha già più informazioni sui vostri sistemi di quante ne abbiate voi.
Aggiornate Chrome. Applicate l’hotfix Fortinet. Controllate le vostre dipendenze npm. E, se gestite un’infrastruttura Docker in produzione, riaprite il ticket di CVE-2024-41110 per verificare che la patch applicata due anni fa reggesse davvero.