Quattro zero-day in quattro mesi. Non è una statistica accettabile, eppure è esattamente quello che Google sta registrando nel 2026 per il suo browser Chrome. Il 1° aprile — senza alcuna ironia — la compagnia di Mountain View ha confermato che un exploit per la vulnerabilità CVE-2026-5281 era già attivo in circolazione, mentre la patch era stata rilasciata solo ventiquattro ore prima. Se stai ancora usando una versione di Chrome precedente alla 146.0.7680.177, sei potenzialmente esposto.
Cos’è CVE-2026-5281 e perché è pericolosa
La vulnerabilità è classificata come use-after-free (UAF), una categoria di bug tra le più pericolose nella sicurezza software. Si tratta di un difetto nella gestione della memoria: il programma continua a utilizzare un puntatore verso un’area di memoria già liberata (freed), aprendo la strada a comportamenti imprevedibili e, nei casi peggiori, all’esecuzione di codice arbitrario.
Il componente colpito è Dawn, l’implementazione open-source e multipiattaforma dello standard WebGPU utilizzata nei browser basati su Chromium. WebGPU è la nuova API grafica web che consente alle applicazioni browser di sfruttare direttamente la GPU per rendering avanzato e calcolo parallelo — pensate agli editor 3D online, ai giochi in browser, agli strumenti AI che operano direttamente nel client. È una tecnologia moderna, sempre più adottata, e ora anche un vettore di attacco attivo.
Secondo l’advisory ufficiale di Google, un aggressore che avesse già compromesso il renderer process del browser avrebbe potuto sfruttare questo bug per eseguire codice arbitrario tramite una pagina HTML appositamente costruita. Non serve scaricare nulla: basta visitare il sito sbagliato.
La timeline: dal fix alla conferma dell’exploit attivo
Google ha rilasciato la patch il 31 marzo 2026 nelle build stable di Chrome per desktop:
- Windows e macOS: versione 146.0.7680.177/178
- Linux: versione 146.0.7680.177
Il giorno successivo, 1° aprile, Google ha aggiornato il bulletin di sicurezza con una nota che non lascia spazio a interpretazioni: “Google è a conoscenza del fatto che un exploit per CVE-2026-5281 esiste in the wild.” In sole 24 ore dalla patch, la conferma dell’exploit attivo. Questa finestra temporale è diventata la norma, non l’eccezione.
Il 1° aprile 2026, la CISA — l’agenzia statunitense per la sicurezza delle infrastrutture critiche — ha aggiunto CVE-2026-5281 al proprio catalogo Known Exploited Vulnerabilities (KEV), imponendo alle agenzie federali civili statunitensi l’obbligo di applicare la patch entro il 15 aprile 2026. Se la CISA mette una scadenza, il livello di rischio è reale.
Il quarto zero-day del 2026: un pattern che preoccupa
CVE-2026-5281 non è un episodio isolato. Nel 2026 Google ha già dovuto tappare quattro zero-day attivamente sfruttati in Chrome, come documentato da Security Affairs e Help Net Security:
- Febbraio 2026 — CVE-2026-2441: use-after-free nel motore CSS
- Marzo 2026 — CVE-2026-3909: out-of-bounds write in Skia, il motore grafico 2D
- Marzo 2026 — CVE-2026-3910: vulnerabilità nel motore JavaScript V8
- Aprile 2026 — CVE-2026-5281: use-after-free in Dawn/WebGPU
Quattro vulnerabilità zero-day sfruttate attivamente nei primi quattro mesi dell’anno. Non si tratta di ricercatori accademici che pubblicano PoC teorici: sono exploit già in uso. La cadenza è di circa una al mese — un ritmo che suggerisce una sofisticazione crescente da parte degli attori malevoli che cercano attivamente falle nel browser più usato al mondo.
Come ha titolato PCQuest, questa sequenza “reveals a bigger browser security problem.” Il problema non è Chrome in sé — Google reagisce velocemente — ma l’ecosistema di browser Chromium-based (Edge, Brave, Vivaldi, Opera) che deve ricevere le patch in cascata, con tempistiche diverse. Microsoft Edge, al momento della scrittura di questo articolo, stava ancora distribuendo il fix.
Il meccanismo tecnico: perché WebGPU è un target interessante
Per capire perché Dawn è un componente delicato, bisogna capire cosa fa WebGPU. È l’erede di WebGL, progettato per offrire un accesso più diretto e performante all’hardware grafico. A differenza di WebGL, WebGPU introduce un modello a “command buffer” simile alle API native come Vulkan e Metal: le operazioni vengono accodate e inviate alla GPU in blocchi, riducendo l’overhead e aumentando l’efficienza.
Questa complessità — gestione di shader, pipeline grafiche, buffer di memoria condivisi tra CPU e GPU — crea superfici di attacco più ampie rispetto alle API precedenti. Un bug use-after-free in questo contesto non è solo un crash dell’applicazione: può portare all’escaping della sandbox del renderer, uno dei meccanismi di isolamento centrali di Chrome. La sandbox è il confine che separa il codice di una pagina web dall’accesso al sistema operativo sottostante. Superarla è l’obiettivo finale di qualsiasi attaccante.
Va precisato che, secondo Google, lo sfruttamento richiede comunque una compromissione preliminare del renderer process. Non è una vulnerabilità che funziona in isolamento dal web: richiede uno stage precedente, probabilmente abbinato a un altro exploit. I cosiddetti exploit chain sono la norma negli attacchi sofisticati: più vulnerabilità concatenate per ottenere il massimo privilegio. Il ricercatore che ha segnalato il bug ha già scoperto in precedenza tre vulnerabilità correlate a Dawn e WebGL, tutte corrette da Google.
Come aggiornare Chrome e i browser Chromium-based
Il procedimento è immediato. Su Chrome desktop:
- Apri il menu in alto a destra (tre puntini verticali)
- Vai su Guida → Informazioni su Google Chrome
- Chrome verificherà automaticamente la disponibilità di aggiornamenti e li installerà
- Riavvia il browser quando richiesto
La versione sicura è la 146.0.7680.177 o superiore su tutte le piattaforme. Vivaldi ha già distribuito la patch. Per Microsoft Edge occorre verificare lo stato del rollout nel proprio canale. Gli utenti di browser Chromium-based con aggiornamento non automatico devono verificare manualmente: ogni giorno di ritardo è esposizione concreta.
Per chi gestisce ambienti aziendali, l’aggiornamento forzato tramite policy di gruppo (GPO) o strumenti di endpoint management è obbligatorio. La scadenza CISA del 15 aprile riguarda le agenzie federali statunitensi, ma rappresenta un riferimento pratico anche per chiunque gestisca infrastrutture critiche o dati sensibili.
Il contesto di aprile: Fortinet sotto assedio in parallelo
CVE-2026-5281 non è l’unica emergenza di questa prima settimana di aprile. Quasi in contemporanea, Fortinet ha dovuto rilasciare un hotfix d’emergenza per CVE-2026-35616, una vulnerabilità in FortiClient EMS con CVSS score di 9.1. Si tratta di un bypass pre-autenticazione delle API che consente a un attaccante non autenticato di eseguire codice arbitrario sul sistema di gestione centralizzata degli endpoint Fortinet.
Secondo Bleeping Computer, i primi tentativi di sfruttamento sono stati registrati il 31 marzo 2026 su honeypot di sicurezza. Le versioni colpite sono FortiClient EMS 7.4.5 e 7.4.6; la scoperta è attribuita a Simo Kohonen di Defused Cyber e a Nguyen Duc Anh. Appena giorni prima, un’altra vulnerabilità critica dello stesso prodotto — CVE-2026-21643, anch’essa CVSS 9.1 — era entrata in sfruttamento attivo.
Due criticità su uno stesso prodotto enterprise, a distanza di giorni, entrambe sfruttate in the wild: questo è il livello di pressione costante a cui sono sottoposti oggi i team di sicurezza. Il tempo medio tra il rilascio di un CVE e il primo exploit si è ridotto a ore, non più settimane. Chi gestisce FortiClient EMS deve applicare l’hotfix immediatamente e attendere il fix completo nella versione 7.4.7.
La mia lettura
Quello che trovo più preoccupante di CVE-2026-5281 non è la vulnerabilità in sé — i browser complessi hanno bug, è fisiologico — ma il ritmo con cui stiamo accumulando zero-day attivamente sfruttati nel 2026. Quattro in quattro mesi su Chrome significa che c’è qualcuno, da qualche parte, che dedica risorse significative a trovare e monetizzare queste falle prima che vengano corrette. Non parliamo di script kiddie: parliamo di attori con capacità di ricerca avanzata e incentivi economici o geopolitici molto concreti.
Il target WebGPU è particolarmente rivelatore. Dawn è un componente relativamente giovane nell’ecosistema Chromium: ha una superficie di attacco meno “ripassata” rispetto a componenti storici come V8 o Skia, che da anni ricevono attenzione dai ricercatori di sicurezza. I nuovi standard web — WebGPU, WebTransport, WebCodecs — aprono capacità potenti agli sviluppatori, ma introducono codice complesso che deve essere auditato con la stessa cura del codice legacy. Il debt di sicurezza si accumula silenziosamente, poi emerge nei momenti peggiori.
C’è poi la questione strutturale dell’ecosistema Chromium. Chrome è il browser di riferimento, ma Vivaldi, Brave, Edge, Opera e decine di altri condividono lo stesso motore. Il fix parte da Google e deve propagarsi lungo tutta la catena — con tempi e processi diversi per ciascun vendor. Durante quella finestra, gli utenti di browser non-Chrome sono esposti anche quando Google ha già rilasciato la patch. Vale la pena chiedersi se questo modello di distribuzione della sicurezza sia ancora adeguato al livello di minaccia attuale, o se sia necessario un meccanismo di notifica e aggiornamento condiviso più rapido tra tutti i player Chromium. Nel frattempo, l’unica risposta pratica resta quella più semplice: aggiorna Chrome, aggiorna Edge, aggiorna ogni browser Chromium-based che hai installato. Non aspettare il fine settimana.