Google pubblica exploit Chromium e Chrome: perché milioni di utenti sono esposti, da 42 mesi

Patch management

Vulnerabilità

Una falla ancora priva di correzione nel codice di Chromium ha riaperto un tema scomodo per chi sviluppa e usa browser moderni: alcune API pensate per migliorare l’esperienza d’uso sul web possono trasformarsi in un canale utilizzabile per attaccare gli utenti. Il caso in questione riguarda la Background Fetch API, una funzione introdotta addirittura in Chrome 74 (siamo ormai a Chrome 149) e poi arrivata anche nei browser Chromium come Edge 79 e Opera 62.

Non parliamo di una nicchia: secondo StatCounter, ad aprile 2026 Chrome da solo valeva il 68% del mercato browser globale, Edge il 5,5% e Opera l’1,9%. Basta questo dato per capire perché un bug nella base comune di Chromium possa avere un impatto vastissimo.

La vicenda nasce da una segnalazione privata della ricercatrice indipendente Lyra Rebane, inviata a Google alla fine del 2022. Per circa 42 mesi il problema è rimasto confinato nel bug tracker di Chromium, classificato con priorità P1 e severità S2. Poi Google ha pubblicato per errore i dettagli tecnici e il proof of concept, prima di accorgersi della “frittata” e rimuovere tutto.