O Google lançou uma atualização de emergência para o Chrome, corrigindo uma vulnerabilidade de dia zero que foi explorada por hackers.

O Google lançou atualizações de emergência para o Chrome, corrigindo uma vulnerabilidade do navegador que estava sendo ativamente explorada por invasores. Esta é a quinta vulnerabilidade zero-day no Chrome.

Fonte da imagem: Growtika / unsplash.com

“O Google está ciente de que a vulnerabilidade CVE-2026-11645 foi explorada”, afirmou a empresa. O bug foi corrigido na versão estável do navegador para desktop — atualizações foram lançadas para Windows (149.0.7827.102), macOS (149.0.7827.103) e Linux (149.0.7827.102); duas semanas antes, um pesquisador anônimo de segurança cibernética relatou o problema ao Google. Pode levar vários dias ou até semanas para que a grande maioria dos usuários do Chrome comece a usar a versão mais recente.

A atualização do navegador já está disponível; usuários que não atualizam o Chrome manualmente podem obter as versões mais recentes automaticamente na próxima vez que abrirem o navegador. Uma grave vulnerabilidade zero-day permite a leitura e gravação de dados fora dos limites do navegador usando o mecanismo JavaScript V8 do Chrome. Para explorá-la, os invasores podem direcionar uma vítima em potencial para uma página HTML especialmente criada e executar código arbitrário fora do ambiente isolado (sandbox) do navegador. Isso permitiria a divulgação de informações confidenciais do usuário ou a ocorrência de uma falha no programa. Essa vulnerabilidade também poderia ser explorada para burlar mecanismos de segurança, incluindo o ASLR, e executar código por meio de outra vulnerabilidade.

O Google ainda não forneceu detalhes sobre o incidente. “O acesso a detalhes e links sobre o erro pode ser restrito até que a maioria dos usuários receba a atualização com a correção. Também manteremos as restrições caso o bug esteja presente em uma biblioteca de terceiros da qual outros aplicativos dependem.””[A vulnerabilidade] está presente em outros projetos, mas ainda não foi corrigida”, concluiu o Google.

Este ano, o Google corrigiu mais quatro vulnerabilidades de dia zero no Chrome. Elas estavam relacionadas ao funcionamento incorreto do gerenciador de fontes, da biblioteca gráfica 2D Skia, do mecanismo V8 e do WebAssembly, bem como no Dawn, a implementação do padrão WebGPU.