Introdução
Google lançou uma atualização urgente para o navegador Chrome visando corrigir oito vulnerabilidades de alta severidade que poderiam permitir a execução remota de código por parte de agentes maliciosos. Essas falhas recém-corrigidas representam um risco significativo para a integridade dos dados dos usuários e para a segurança dos sistemas operacionais onde o navegador está instalado.
A atualização está sendo distribuída para o canal estável, com versões 146.0.7680.164 ou 146.0.7680.165 para usuários de Windows e macOS. Já os usuários do Linux receberão a versão 146.0.7680.164. A Google espera que essas atualizações críticas alcancem todos os usuários ao longo dos próximos dias e semanas.
Detalhamento das vulnerabilidades corrigidas
Os patches mais recentes resolvem vários erros perigosos de gerenciamento de memória e processamento dentro da arquitetura subjacente do Chrome. Entre as falhas corrigidas estão vulnerabilidades "Use-After-Free" em componentes como Dawn, WebGPU e FedCM. Essas falhas específicas ocorrem quando um programa continua a usar um ponteiro de memória após a memória ter sido liberada, permitindo que atacantes injetem e executem payloads maliciosos.
Além disso, a Google abordou estouro de buffer de heap no WebAudio e WebGL, falhas de leitura fora dos limites no CSS e um estouro de inteiro no componente Fonts. Quando encadeadas ou exploradas com sucesso, essas vulnerabilidades de corrupção de memória dão aos cibercriminosos um caminho para contornar as sandboxes de segurança do navegador e comprometer completamente a máquina hospedeira.
Lista completa de CVEs corrigidos
A atualização aborda as seguintes oito vulnerabilidades de alta severidade, detalhadas abaixo:
- CVE-2026-4673: WebAudio - Estouro de buffer de heap.
- CVE-2026-4674: CSS - Leitura fora dos limites.
- CVE-2026-4675: WebGL - Estouro de buffer de heap.
- CVE-2026-4676: Dawn - Use after free.
- CVE-2026-4677: WebAudio - Leitura fora dos limites.
- CVE-2026-4678: WebGPU - Use after free.
- CVE-2026-4679: Fonts - Estouro de inteiro.
- CVE-2026-4680: FedCM - Use after free.
Medidas de proteção e aplicação
Para proteger a base de usuários, a Google restringe intencionalmente o acesso a detalhes técnicos específicos de bugs e links de exploração. Essa prática padrão da indústria garante que a maioria dos usuários possa instalar a atualização de segurança antes que os agentes maliciosos possam reverter a engenharia do patch para lançar ataques generalizados.
A empresa também mantém restrições se uma vulnerabilidade existir em uma biblioteca de terceiros da qual outros projetos de software dependem. A Google recompensa ativamente pesquisadores de segurança por divulgarem essas ameaças de forma responsável, pagando um bônus confirmado de 7.000 dólares pela vulnerabilidade do WebAudio, com vários outros valores de recompensa ainda a serem determinados.
Recomendações para administradores de TI
Profissionais de cibersegurança e usuários comuns devem priorizar a aplicação desta atualização imediatamente. Para garantir que seu navegador esteja totalmente protegido contra essas potenciais ameaças de execução remota de código, navegue até o menu do Chrome, selecione "Ajuda" e clique em "Sobre o Google Chrome". Essa ação força o navegador a verificar a versão mais recente e baixar automaticamente o patch de segurança.
Administradores que gerenciam ambientes corporativos devem empurrar a atualização através de seus sistemas de gerenciamento de patches para proteger eficientemente os endpoints da rede. A aplicação centralizada é crucial para garantir que todas as máquinas estejam atualizadas e protegidas contra as vulnerabilidades listadas.
Impacto e alcance
Considerando a base instalada massiva do Chrome, o impacto potencial dessas vulnerabilidades é global. A correção de falhas de execução remota de código é prioritária, pois permite que atacantes assumam o controle total do sistema sem interação do usuário em muitos casos. A sandboxes de segurança do navegador são a última linha de defesa, e sua contornação representa um risco crítico.
A Google utiliza ferramentas avançadas de teste, como AddressSanitizer, MemorySanitizer e libFuzzer, para identificar bugs de segurança complexos antes que eles alcancem o canal estável. Isso demonstra o compromisso da empresa com a segurança proativa e a detecção precoce de falhas.
O que os CISOs devem fazer
Os CISOs devem garantir que a atualização seja aplicada em todos os dispositivos corporativos o mais rápido possível. A prioridade deve ser dada aos dispositivos que acessam dados sensíveis ou que estão conectados a redes críticas. A comunicação com os usuários sobre a importância da atualização é essencial para garantir a adesão e a segurança geral da organização.
Perguntas frequentes
Como sei se meu Chrome está atualizado?
Vá em Configurações > Sobre o Google Chrome. O navegador verificará automaticamente por atualizações.
Posso adiar a atualização?
Não. As vulnerabilidades corrigidas são de alta severidade e podem ser exploradas remotamente. A atualização deve ser aplicada imediatamente.
Isso afeta o Chrome Enterprise?
Sim. A atualização é crítica para ambientes corporativos e deve ser gerenciada via políticas de grupo ou sistemas de gerenciamento de dispositivos.