Nintendo patcha vulnerabilità critiche su Switch 2: fix per Splatoon 3 e Mario Kart World

Nintendo interviene con decisione sulla sicurezza della Switch 2, chiudendo due vulnerabilità considerate critiche che riguardavano due dei titoli di punta della console: Splatoon 3 e Mario Kart World.

La divulgazione pubblica è avvenuta il 19 febbraio 2026 attraverso il programma bug bounty ufficiale gestito su HackerOne, ma le correzioni erano già state applicate in tempi estremamente rapidi, prima che le falle potessero trasformarsi in exploit diffusi o strumenti di abuso online.

#HackerOne (h1) disclosure report for February 19, 2026:

Nintendo: 2
Cohere: 1#h1 #report #vulnerabilities #hydrattack

More details: https://t.co/iLFG2ABRdH pic.twitter.com/odqGJrT0sH

— HydrAttack (@EASM_HydrAttack) February 20, 2026

Nel caso di Splatoon 3, la vulnerabilità riguardava l’utilizzo di un generatore pseudo-casuale crittograficamente debole all’interno di un sistema legato ai meccanismi di protezione e controllo. In sostanza, il seed utilizzato per la randomizzazione risultava prevedibile in determinate condizioni.

Questo avrebbe potuto consentire a utenti malintenzionati di anticipare determinati comportamenti legati alla componente online, con possibili implicazioni sul sistema anti-cheat e su dinamiche di gioco basate su elementi casuali.

La segnalazione, attribuita al ricercatore noto come hana2736, è stata gestita in modo tempestivo: Nintendo ha rilasciato una patch correttiva in meno di 24 ore dalla conferma del problema, dimostrando una reattività che non è passata inosservata.

Per quanto riguarda Mario Kart World, la vulnerabilità era di natura differente ma potenzialmente altrettanto delicata.

Si trattava di una perdita di informazioni legata all’ASLR, il sistema di Address Space Layout Randomization che serve a rendere più complessa la previsione degli indirizzi di memoria e quindi a ostacolare attacchi avanzati.

In modalità LAN era possibile ottenere informazioni sul layout della memoria del gioco, un dettaglio che, se combinato con altre tecniche, avrebbe potuto facilitare la costruzione di catene di exploit più sofisticate, come attacchi basati su ROP.

Il problema è stato individuato dal ricercatore kinnay, già conosciuto nell’ambiente per studi su exploit Nintendo, ed è stato corretto con l’aggiornamento 1.5.0 del gioco, distribuito già a gennaio 2026 ma reso pubblico nel dettaglio solo ora, al momento della disclosure ufficiale.

Entrambe le vulnerabilità sono state segnalate privatamente tramite il programma HackerOne, classificate con un livello di gravità elevato e risolte senza clamore mediatico fino alla pubblicazione controllata dei dettagli tecnici.

Questo approccio ha permesso a Nintendo di intervenire senza esporre gli utenti a rischi concreti nel periodo tra scoperta e correzione.

In un contesto in cui Switch 2 ha ormai raggiunto una base installata di milioni di unità e una scena online estremamente attiva, la gestione rapida di problemi di sicurezza rappresenta un segnale chiaro di maturità e di investimento strutturato nella protezione dell’ecosistema.

Per i possessori della console, il messaggio è semplice: mantenere aggiornati i giochi è fondamentale. Le patch non introducono solo miglioramenti di bilanciamento o nuove funzionalità, ma chiudono anche potenziali porte d’ingresso per manipolazioni online o exploit tecnici.

Allo stesso tempo, per chi segue la scena modding e hacking, questi interventi dimostrano come Nintendo continui a rafforzare le difese, rendendo sempre più complesso sfruttare vulnerabilità su firmware aggiornati.

Alcune parti di questo articolo sono state generate con l’aiuto dell’intelligenza artificiale.

Ultimo aggiornamento 2026-05-13 / Link di affiliazione / Immagini da Amazon Product Advertising API