Chrome 144 corrige falha grave no motor V8 (CVE-2026-1220)
Google liberou uma atualização do Chrome versão 144 que corrige uma vulnerabilidade de alta severidade no motor JavaScript V8. Administradores devem priorizar a aplicação do update para reduzir exposição.
O que foi divulgado
O lançamento na stable do Chrome 144 começou em 21 de janeiro de 2026. As builds citadas no relatório são 144.0.7559.96/.97 para Windows e macOS e 144.0.7559.96 para Linux. A correção trata o CVE-2026-1220, descrito como uma condição de corrida (race condition) no motor V8.
Vetor e impacto técnico
Segundo a nota da publicação, a condição de corrida pode ser explorada por meio de conteúdo web especialmente criado, com potencial para causar corrupção de memória, instabilidade do navegador ou execução arbitrária de código. Como o V8 é o motor JavaScript central do Chrome, a falha afeta funcionalidades web amplas e, em caso de exploração bem-sucedida, pode atingir milhões de usuários.
Detalhes conhecidos
- CVE: CVE-2026-1220.
- Natureza: race condition no V8.
- Data do relato: pesquisador reportou a falha em 7 de janeiro de 2026 (conforme a fonte).
- Versões com correção: Chrome 144.0.7559.96/.97 (Windows/macOS) e 144.0.7559.96 (Linux).
Recomendações e limitações das informações
O comunicado informa que o Google costuma restringir detalhes técnicos completos até que a maioria dos usuários receba o update, prática destinada a reduzir o risco de exploração massiva antes da distribuição do patch. Assim, detalhes de prova de conceito ou amostras de exploração não foram divulgados pelo fabricante no momento do lançamento.
Administradores de ambientes corporativos devem verificar versões via Settings > About Chrome e forçar atualizações quando necessário. A publicação ressalta que a equipe de segurança do Chrome emprega ferramentas automáticas — AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer e AFL — para detecção de falhas de memória e comportamento indefinido durante o ciclo de desenvolvimento.
O que mudou agora
O update corrige a condição de corrida no V8, reduzindo o risco de corrupção de memória e execução remota associada ao motor JavaScript. A lista completa de mudanças técnicas está disponível no repositório Chromium (conforme referência na matéria), onde o changelog detalha correções incluídas no build.
Implicações para empresas
Devido ao alcance do Chrome em ambientes corporativos e pessoais, a correção deve ser considerada prioritária por equipes de TI e CSIRT. A publicação sugere que administradores que gerenciam grandes implantações priorizem a distribuição do patch para mitigar riscos operacionais e exposição de usuários finais.
O que não está na fonte
A matéria não traz CVSS numérico ou evidência pública de exploração ativa no momento da divulgação; tampouco fornece PoC ou amostras. A ausência desses elementos indica que o Google aplicou a política usual de divulgação responsável enquanto o rollout ocorre.
Resumo prático
- Atualize Chrome nas estações e em políticas de enterprise management para distribuir 144.0.7559.96/.97 conforme aplicável.
- Monitore canais oficiais do Chromium/Chrome Releases para eventuais indicações de exploração ativa ou detalhes técnicos adicionais.
Fonte: Cyber Security News