O Google lançou uma atualização de emergência para o Chrome que corrige duas vulnerabilidades de alta gravidade que já estão sendo exploradas em estado “zero-day”. Em seu aviso oficial, a empresa reconhece que existem testes de exploração ativa de ambas as falhas e lançou adesivos para versões estáveis de desktop no Windows, macOS e Linux.
Uma das falhas provém de uma escrita fora de limites em Skia, a livraria de código aberto encarregada da renderização 2D em múltiplos projetos, incluindo Chromium. Este tipo de erros - conhecidos como out‐of‐bounds write - podem provocar que o navegador seja bloqueado ou, no pior dos casos, permitir a execução de código arbitrário se um atacante conseguir manipular a memória afetada. Skia é um componente crítico na cadeia de renderização, pelo que qualquer defeito em seu manejo de objetos gráficos pode ter implicações sérias para a segurança do navegador. Mais informações sobre a natureza técnica destas fraquezas estão disponíveis na descrição do CWE correspondente na MITRE, e na página do próprio projeto Skia skia.org.
A outra vulnerabilidade afeta o motor V8, responsável pela execução de JavaScript e WebAssembly. O Google descreve como um problema de implementação inadequada em V8 que pode ser explorado para comprometer a segurança da execução de código no navegador. V8 é a peça que interpreta e otimiza o código web que a maioria das páginas e aplicações modernas utilizam; por isso, falhas em sua lógica podem abrir portas muito valiosas para atacantes persistentes. O projeto V8 mantém documentação e recursos em v8.dev.
O Google não publicou detalhes técnicos abrangentes sobre os incidentes específicos de exploração, limitando o acesso à informação sensível até que a maioria dos usuários tenha recebido o adesivo ou quando bibliotecas de terceiros que compartilham a mesma vulnerabilidade também tenham sido corrigidas. Essa prática busca impedir que mais atacantes criem exploits antes de as equipes e usuários se atualizarem.
As versões com o patch já publicadas para o canal estável são 146.0.7680.75 no Windows, 146.0.7680.76 no macOS e 146.0.7680.75 no Linux. O Google distribuiu a atualização de forma urgente e, embora adverte que a implantação completa pode demorar dias ou semanas para alcançar todos os usuários, algumas análises e verificações – como as realizadas por meios especializados – detectaram imediatamente o adesivo disponível em vários equipamentos.
Se você usar o Chrome, o mais prático e seguro é atualizar quanto antes e reiniciar o navegador. Você pode forçar a verificação de atualizações do menu Chrome ou deixar que a própria configuração de atualizações automáticas faça o trabalho e instale o adesivo no próximo início do navegador. Ter atualizações automáticas ativadas reduz o tempo em que um navegador vulnerável permanece exposto.
É importante lembrar que muitos navegadores baseados em Chromium compartilham componentes como Skia e V8. Isso significa que, quando se descobre uma falha nesses elementos, outras implementações que os incorporam podem ser afetadas também e precisarão publicar seus próprios adesivos. É por isso que convém prestar atenção às atualizações dos navegadores alternativos e aos avisos de segurança dos seus desenvolvedores.
Este par de correções soma-se a outros “zero-days” arranjados pelo Google no que vai de ano. No início de fevereiro já havia sido corrigida outra vulnerabilidade explorada ativamente relacionada à implementação de valores de características tipográficas em CSS. Em 2025 a empresa fechou oito falhas zero-day exploradas em ambientes reais, muitas delas relatadas pelo seu Threat Analysis Group (TAG), a equipe interna que rastreia e analisa ameaças sofisticadas. Para consultar o anúncio do Google sobre as atualizações do Chrome, você pode ver o comunicado oficial no blog de lançamentos de Chromium em chromereleases.googleblog.com.
O ecossistema de caça de erros também continua ativo: o Google informou recentemente de pagamentos milionários a pesquisadores que reportaram vulnerabilidades através do seu programa de recompensas. Se você se interessa como as iniciativas de bug bounty funcionam e onde reportar falhas, a página oficial do programa está em bughunters.google.com.
O que os usuários podem fazer além de atualizar? Manter o sistema operacional e as aplicações por dia reduz a superfície de ataque; evitar abrir links ou arquivos desconhecidos e não permitir instalações de origem não verificadas reduz o risco de cair em técnicas de exploração que começam fora do navegador. Para ambientes corporativos, medidas como a aplicação centralizada de adesivos, o uso de ferramentas de gestão de endpoints e a segmentação de redes ajudam a conter possíveis intrusões. Meios de divulgação e de segurança como BleepingComputer Eles costumam cobrir este tipo de alertas rapidamente e podem servir para seguir a evolução do incidente.
Em suma, trata-se de duas falhas sérias e exploradas ativamente que receberam uma correção urgente. A recomendação principal é atualizar o Chrome quanto antes e manter actualizações automáticas ativas, porque em segurança muitas vezes a diferença entre estar exposta ou protegido é simplesmente aceitar e instalar um adesivo a tempo.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...