O Google lançou uma atualização de segurança para o Chrome que corrige duas falhas críticas que, segundo a própria empresa, já estão sendo aproveitadas por atacantes em ambientes reais. Trata-se de duas vulnerabilidades de alta gravidade que afetam componentes fundamentais do navegador: a biblioteca gráfica Skia e o motor JavaScript/WebAssembly V8.
O primeiro dos erros, registrado como CVE-2026-3909, corresponde a um erro de escrita fora dos limites em Skia, a biblioteca 2D que o Chrome usa para desenhar gráficos. Em termos simples, um atacante pode criar uma página HTML manipulada de forma a que o navegador tente ler ou escrever memória fora da área prevista, o que pode provocar comportamentos inesperados ou facilitar que o código malicioso interfira com a execução normal do navegador.
O segundo problema, CVE-2026-3910, afeta V8 e tem sido descrito como uma implementação inadequada que permite a um atacante executar código arbitrário dentro do ambiente confinado do navegador através de uma página web preparada para tal fim. Em poucas palavras, isto significa que um exploit bem projetado poderia sortear as barreiras de segurança que normalmente isolam o código da página do sistema do usuário.
Ambas as vulnerabilidades têm uma pontuação CVSS alta (8.8) e, segundo o Google, foram detectadas internamente e relatadas em 10 de março de 2026. A empresa confirmou que existem exploits ativos para estas falhas na natureza, mas, como é habitual nestes casos, não compartilhou detalhes técnicos sobre seu funcionamento ou quem poderia estar por trás dos abusos para evitar que mais atores maliciosos os repliquem. Você pode consultar a nota oficial do Google sobre a atualização em seu blog de versões do Chrome: Stable Channel Update for Desktop.
Esta intervenção chega semanas após outra correção de gravidade semelhante no componente CSS do navegador, identificada como CVE-2026-2441, o que eleva a três o número de zero-dias ativamente explorados que o Google tem patchado desde o início do ano. Esse padrão destaca que os navegadores continuam sendo um objetivo prioritário para atores que buscam comprometer dispositivos através de simples visitas a páginas web manipuladas.
Para se proteger, o Google recomenda atualizar o Chrome para as versões 146.0.7680.75/76 no Windows e macOS, e 146.0.7680.75 no Linux. A forma mais rápida de verificar se você já dispõe do adesivo é abrir o Chrome, ir para Mais > Ajuda > Informação do Google Chrome e permitir que o navegador se reinicie após baixar a atualização. A página de ajuda oficial do Google explica este processo com mais detalhes: Como atualizar o Google Chrome.
Se você usa navegadores construídos sobre Chromium, como Microsoft Edge, Brave, Opera ou Vivaldi, é recomendável estar atento às suas próprias atualizações: muitas das correções para Chromium são incorporadas depois nesses projetos, mas os tempos de implantação podem variar entre fornecedores. Manter o navegador atualizado é a medida mais eficaz e fácil contra este tipo de ameaças.
Além de aplicar a atualização o mais rapidamente possível, convém manter boas práticas básicas que reduzem o risco: evitar clicar em links suspeitos, não visitar sites de procedência duvidosa, limitar extensões instaladas às estritamente necessárias e manter o sistema operacional e o software de segurança por dia. Embora nem sempre práticas perfeitas, essas medidas ajudam a atenuar a exposição enquanto os fabricantes lançam adesivos.
O Google já teve que corrigir vários zero-dias em pouco tempo é um lembrete de que o panorama de ameaças evolui rapidamente. Actualizar agora e reiniciar o navegador pode ser a diferença entre passar um dia normal e lidar com um incidente de segurança. Manter uma mentalidade pró-ativa contra atualizações e higiene digital ainda é a melhor defesa.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...