O Google publicou adesivos de segurança para o seu navegador Chrome após identificar uma vulnerabilidade que já está sendo explorada em ambientes reais. A falha, registrada como CVE-2026-2441 e qualificada com uma pontuação CVSS alta (8.8), afeta o processamento de CSS e pode permitir a um atacante executar código remotamente através de uma página HTML projetada para aproveitar a falha; esta descrição técnica está na base de dados de vulnerabilidades do NIST, onde você pode consultar mais informações em detalhes: NVD — CVE-2026-2441.
A detecção foi atribuída ao pesquisador Shaheen Fazim, que notificou o problema em 11 de fevereiro de 2026. O Google confirmou publicamente que há pelo menos um exploit ativo para esta vulnerabilidade, embora a empresa não tenha divulgado detalhes específicos sobre a maneira como está sendo utilizada ou quem tem sido os objetivos. A nota oficial da atualização está disponível no blog de lançamentos do Chrome: Chrome Releases — Stable Channel update.
Do ponto de vista técnico, trata-se de um clássico “use-after-free” relacionado ao motor que interpreta as regras CSS. Em termos simples, esse tipo de falha surge quando o navegador tenta usar memória que já foi liberada, o que pode abrir a porta a que um atacante manipule o comportamento do programa e execute código dentro das restrições do ambiente de execução. Embora a exploração seja geralmente limitada à “sandbox” do navegador, isso não diminui a gravidade: navegadores são objetivos privilegiados porque estão instalados em quase todos os computadores e móveis e processam conteúdo externo continuamente, com o que uma única falha pode afetar milhões de usuários.
Esta intervenção de emergência converte CVE-2026-2441 no primeiro zero-day ativamente explorado no Chrome que o Google parchau em 2026. Não é um fenômeno isolado: durante o ano anterior a empresa corrigiu várias vulnerabilidades críticas no navegador, algumas delas também exploradas na prática. Essa tendência sublinha a necessidade de manter o software atualizado de forma constante.
Em paralelo, nas últimas semanas, a Apple também lançou adesivos para múltiplos sistemas - incluindo iOS, iPadOS e macOS - para corrigir um zero-day que tinha sido usado em ataques direcionados contra usuários concretos; a Apple descreveu aquela campanha como “extremamente sofisticada” e publicou informações gerais sobre suas atualizações de segurança em sua página de suporte: Apple — Security Updates. Ambos os incidentes lembram que as vulnerabilidades em plataformas populares são frequentemente aproveitadas por atores com diferentes objetivos, desde cibercriminais oportunistas até operações mais direcionadas.
Se você usar o Chrome no Windows ou macOS, o Google recomenda instalar as versões 145.0.7632.75 ou 145.0.7632.76; para o Linux a versão indicada é a 144.0.7559.75. Para verificar que você tem a versão mais recente basta abrir o menu Chrome, ir para Ajuda e selecionar Acerca do Google Chrome; o navegador irá procurar atualizações e pedir reiniciar (Relaunch) se aplicar. Você também pode seguir as instruções oficiais do Google para atualizar o Chrome aqui: Actualizar o Google Chrome. Actualizar quanto antes é a medida mais eficaz para reduzir o risco.
Os usuários de outros navegadores baseados em Chromium, como Microsoft Edge, Brave, Opera ou Vivaldi, também deveriam permanecer atentos: esses projetos compartilham grande parte do código subjacente e, portanto, é habitual que as correções cheguem com pouco atraso às demais implementações. Se você usa algum desses navegadores, verifique as notas de segurança do seu fornecedor e aplique as atualizações quanto estiverem disponíveis.
Para além do adesivo pontual, convém recordar algumas boas práticas: manter o sistema operacional e as extensões atualizadas, limitar as permissões de extensões desconhecidas e evitar abrir ligações ou arquivos suspeitos a partir de fontes não verificadas. A combinação de um navegador atualizado e conduta prudente na navegação reduz significativamente a superfície de ataque.
Em suma, este aviso de segurança revela uma realidade já conhecida: os navegadores continuam sendo uma das portas de entrada preferidas para os atacantes. Se você usa o Chrome ou qualquer navegador baseado em Chromium, faça a atualização hoje mesmo e mantenha o hábito de revisar atualizações de segurança regularmente.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...