O Google lançou uma atualização para o navegador Chrome que corrige diversas vulnerabilidades. Uma delas era usada ativamente por cibercriminosos e permitia que eles executassem código arbitrário, ignorando a sandbox do navegador.
Fonte da imagem: google.com/chrome
A vulnerabilidade explorada recebeu o código CVE-2025-6558 e seu nível de ameaça é estimado em 8,8 pontos em 10. A vulnerabilidade afeta versões do Google Chrome até 138.0.7204.157. Ela foi descoberta por especialistas do departamento de Análise de Ameaças do Google em 23 de junho. A causa do problema foi a verificação insuficiente de dados de entrada não confiáveis no mecanismo gráfico ANGLE. Usando uma página HTML especialmente preparada, um invasor conseguiu sair da “sandbox”.
O mecanismo ANGLE (Almost Native Graphics Layer Engine) traduz chamadas da API OpenGL ES para APIs mais comuns, como Direct3D, Metal, Vulkan e OpenGL. Ele foi projetado para lidar com comandos gráficos provenientes de fontes não confiáveis, como sites que usam WebGL. Erros nesse mecanismo podem ter implicações críticas de segurança. A vulnerabilidade permite que um invasor remoto execute código arbitrário no processo gráfico do navegador Chrome. O Google se recusou a divulgar detalhes técnicos de como a exploração funciona até que a maioria dos usuários atualize o navegador para a versão 138.0.7204.157/158, dependendo do sistema operacional.
A atualização atual também corrigiu mais cinco vulnerabilidades. Segundo o Google, nenhuma delas foi utilizada em ataques. Entre as corrigidas estão um bug no mecanismo V8 (CVE-2025-7656) e uma vulnerabilidade relacionada ao uso de memória limpa no WebRTC (CVE-2025-7657).