Resumo curto
O Google liberou atualização urgente do Chrome para corrigir CVE-2026-0628, uma falha de alta gravidade no componente WebView que pode permitir bypass de políticas de segurança usadas por aplicações que incorporam conteúdo web.
O que aconteceu
Segundo a matéria publicada no Cyber Security News, o Chrome recebeu updates estáveis nas versões 143.0.7499.192/.193 (Windows e Mac) e 143.0.7499.192 (Linux) para mitigar a vulnerabilidade identificada como CVE-2026-0628. A falha decorre de insuficiente aplicação de políticas na tag <webview>, componente que permite a exibição de conteúdo web dentro de aplicações sem abrir uma janela completa do navegador.
Risco para aplicações que usam WebView
Por se tratar de um problema no enforcement de políticas do WebView, aplicações que incorporam o componente — frequentemente apps desktop/embedded que exibem páginas ou interfaces web — podem ficar expostas a bypass de controles, fuga de dados ou execução de código em contexto da aplicação. A classificação no texto fonte é de alta gravidade, o que justifica a distribuição acelerada do patch.
Resposta e medidas imediatas
O Google optou por restringir a divulgação dos detalhes técnicos da vulnerabilidade até que a maioria dos usuários receba o patch, prática de divulgação responsável que busca reduzir a janela de risco. A empresa também reconheceu pesquisadores externos pela contribuição à descoberta.
Orientações diretas extraídas da matéria:
- Atualize o Chrome imediatamente: Settings > Help > About Google Chrome — o navegador fará o check e instalará a atualização;
- Em ambientes corporativos, priorizar a implantação do build estável distribuído e validar a versão instalada em imagens e endpoints gerenciados;
- Revisar aplicativos que dependam de WebView para conteúdo sensível e aplicar controles adicionais (sandboxing, políticas de CSP e monitoramento) até a completa distribuição do update.
Detecção e mitigação adicional
O texto menciona as ferramentas e metodologias empregadas na triagem de bugs pelo Google (AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer, AFL), indicando que a vulnerabilidade foi identificada durante o desenvolvimento/caça a bugs. Não há na matéria evidência pública de exploração ativa antes da correção; portanto, o foco é aplicar o patch e reduzir a superfície de ataque em aplicações que usam WebView.
Implicações operacionais
Organizações que gerenciam catálogos de aplicações internas ou distribuem software com WebView embarcado devem:
- Inventariar componentes WebView nas aplicações internas e validar se o componente depende do runtime do Chrome/Chromium afetado;
- aplicar updates nas estações e servidores que executam aplicações com WebView ou reempacotar aplicações com versões seguras do runtime;
- garantir que fluxos de CI/CD verifiquem versões de runtimes de navegadores/embeddeds e bloqueiem a publicação de builds com versões afetadas.
Conclusão
A correção de CVE-2026-0628 é crítica para reduzir risco em apps que usam WebView. A ação imediata é atualizar o Chrome nas plataformas listadas e priorizar a mitigação em ambientes corporativos. As publicações consultadas não reportam exploração generalizada — ainda assim, a combinação de alta gravidade e ampla presença do runtime justifica a rápida aplicação das atualizações.