Google Chrome ha annunciato il fix di una vulnerabilità storica. Ecco tutti i dettagli.

Google ha annunciato un aggiornamento fondamentale per il suo browser Chrome che risolve una vulnerabilità storica presente da quasi vent’anni. La falla, legata allo stile CSS dei link visitati, consentiva a siti web malevoli di dedurre la cronologia di navigazione degli utenti, mettendo a rischio la loro privacy. La correzione sarà introdotta ufficialmente con la versione 136 di Chrome.

Questa vulnerabilità storica nasce da una funzione apparentemente innocua: i browser indicano i link già cliccati con un colore diverso, solitamente viola, rispetto a quelli non ancora visitati. Tuttavia, questa semplice differenza visiva è stata sfruttata da sviluppatori poco etici per costruire script capaci di rilevare quali pagine un utente avesse visitato, violando così uno dei principi base della navigazione sicura.

Gli impatti di questa vulnerabilità storica non si limitano al semplice tracciamento. Google ha confermato che la falla poteva essere utilizzata anche per creare profili comportamentali dettagliati, facilitare attacchi di phishing o manipolare contenuti a seconda della cronologia. Alcuni di questi attacchi sfruttavano il tempo di caricamento delle pagine o l’interazione con pixel invisibili per ottenere informazioni riservate.

La soluzione adottata è elegante e funzionale: Chrome ora utilizzerà un sistema di partizionamento a tre chiavi per i link visitati, considerando la destinazione del link, il dominio di primo livello e l’origine del frame in cui il link appare. In questo modo, un sito non potrà più verificare se un utente ha visitato un altro dominio, rendendo inefficaci gli exploit legati alla vulnerabilità storica.

Per bilanciare sicurezza e usabilità, Google ha introdotto un’eccezione chiamata “self-link”, che consente ai siti di riconoscere i propri link come già visitati anche se sono stati aperti da un altro dominio. Secondo l’azienda, ciò non compromette ulteriormente la privacy dell’utente.

Gli utenti interessati a testare in anteprima questa protezione contro la vulnerabilità storica possono già attivarla su Chrome 132 attraverso le impostazioni sperimentali. Con questa mossa, Google chiude una delle falle più durature della storia del web moderno, dimostrando ancora una volta l’impegno verso una navigazione più sicura e trasparente.

Scritto da Michele Bellotti