O Google lançou em modo de urgência uma atualização para o Chrome após detectar que uma vulnerabilidade de alta gravidade —registrada como CVE-2026-2441 — já estava a ser explorada activamente. A empresa confirmou-o em seu aviso oficial para o ramo estável de desktop, no qual adverte que existe um exploit "na natureza" e recomenda aos usuários instalar o adesivo quanto antes para reduzir o risco. Você pode ler o comunicado original no blog Chrome Releases: chromereleases.googleblog.com.
O problema técnico por trás desta correção é um típico erro de tipo "use-after-free" derivado da invalidação de um iterador dentro da implementação dos valores de características tipográficas em CSS (CSSFontFeatureValuesMap). Em termos simples, trata-se de uma condição em que o navegador continua tentando usar uma porção de memória que já foi liberada, o que pode provocar desde falhas e comportamentos gráficos estranhos até corrupção de dados ou a execução de código não desejado se um atacante aproveita a vulnerabilidade.
Os detalhes teóricos da falha aparecem no histórico de commits do projeto Chromium e no ticket associado que continua trabalhando no assunto. O adesivo cobre o problema imediato, mas os desenvolvedores apontam para tarefas pendentes relacionadas no bug tracker de Chromium: crbug.com/483936078. Esse registro sugere que algumas correções foram aplicadas de maneira pontual e que pode ficar trabalho adicional para abordar possíveis efeitos colaterais ou condições relacionadas.
Uma faixa de gravidade percebida pelo Google é que a correção foi "cherry-picked" - isto é, retroportada - à versão estável em vez de esperar ao próximo lançamento maior. Essa prática é usada quando um erro representa um risco real e deve ser alcançado à maioria dos usuários o mais rapidamente possível.
As versões que estão recebendo a atualização no ramo estável de desktop são as seguintes: Windows e macOS com as versões 145.0.7632.75/76 e Linux com 144.0.7559.75. Se você quiser verificar e aplicar a atualização manualmente, abra o Chrome, vá para "Ajuda" > "Informações do Google Chrome" e deixe que o navegador baixe e instale a nova versão; o Google explica o processo em sua página de suporte: support.google.com. Se você prefere a via automática, o Chrome costuma instalar as atualizações ao reiniciar o navegador.
O Google não ofereceu por agora detalhes concretos sobre quem ou como esta vulnerabilidade foi explorada na prática; a empresa costuma limitar a divulgação de informações técnicas até que a maioria dos usuários recebe a correção, para evitar que atores maliciosos reutilizem os detalhes para campanhas adicionais. Essa política também se aplica quando a falha está numa livraria de terceiros e outros projetos ainda não publicaram suas próprias soluções.
Este adesivo é notável porque, embora durante o ano passado, o Google corrigiu várias vulnerabilidades de dia zero usadas em ataques reais (muitas detectadas pelo seu Threat Analysis Group), até agora de 2026, não houve nenhuma correção por exploração ativa no Chrome. Se você quer saber mais sobre o trabalho que a equipe de análise de ameaças do Google faz, seu blog é uma boa referência: blog.google/threat-analysis-group.
O que você deve fazer agora? O mais prático e eficaz é atualizar o Chrome quanto antes e garantir que as atualizações automáticas estão ativas. Se por algum motivo não puder atualizar imediatamente, evite abrir links ou baixar conteúdos de origens duvidosos e, em ambientes corporativos, coordena com sua equipe de TI para implantar o adesivo de forma centralizada. Também convém manter atualizados outros navegadores baseados em Chromium, já que alguns projetos compartilham componentes e poderiam necessitar de seus próprios adesivos.
Em suma, trata-se de um lembrete mais do que os navegadores continuam sendo um alvo preferencial para atacantes: são a porta de entrada para nossas contas, senhas e dados pessoais. Actualizar agora é a melhor defesa, e a combinação de adesivos rápidos, vigilância de fontes oficiais e práticas básicas de navegação segura reduz significativamente o risco.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...