Chrome: zero‑day explorado ativamente; atualize para 143.0.7499.109/.110
O Google liberou uma atualização de emergência do canal Stable do Chrome para corrigir um zero‑day que está sendo explorado em ataque real. A empresa afirma estar ciente de um exploit em circulação e restringiu detalhes técnicos enquanto a correção é propagada.
Descoberta e escopo / O que mudou agora
O problema foi divulgado como Issue 466192044 e classificado com severidade alta. O update está disponível para o canal Stable, elevando a versão para 143.0.7499.109/.110 em Windows e macOS, e 143.0.7499.109 para Linux. A divulgação oficial informa apenas que o problema está "Under coordination" — detalhes do componente afetado não foram liberados.
Vetor e exploração / Mitigações
O Google confirmou que "is aware that an exploit for 466192044 exists in the wild", o que indica exploração ativa. Por política de divulgação restrita em casos de zero‑day, o fornecedor não detalhou o vetor nem o componente afetado enquanto aguarda ampla aplicação do patch. Além do zero‑day, a correção corrige duas falhas de severidade média: CVE-2025-14372 (use‑after‑free no Password Manager) e CVE-2025-14373 (implementação inadequada na Toolbar).
Para aplicar a correção imediatamente, abra o menu do Chrome, acesse Help > About Google Chrome. O navegador verificará atualizações e exigirá relançamento para concluir a instalação. Administradores devem priorizar a distribuição da build 143.0.7499.109/.110 nos ambientes corporativos.
Impacto e alcance / Setores afetados
Como o Chrome é um dos navegadores mais usados em ambientes corporativos e pessoais, a presença de um exploit em liberdade eleva o risco de comprometimento de estações de trabalho. A falha no Password Manager (CVE-2025-14372) pode ser especialmente crítica em contextos onde credenciais são armazenadas no navegador.
A falta de detalhes públicos sobre o componente e o vetor impede uma avaliação técnica mais precisa do alcance e dos métodos de ataque; por isso a ação recomendada é a atualização imediata e o monitoramento de eventos suspeitos relacionados ao navegador.
Limites das informações / O que falta saber
O advisory oficial restringe informações sobre o zero‑day enquanto o patch é coordenado para prevenção de exploração adicional a partir da engenharia reversa do patch. Não foram divulgados IOCs, amostras de exploits nem atributos técnicos que permitam a identificação de campanhas específicas.
Repercussão / Próximos passos
Recomendações imediatas:
- Forçar atualização das instâncias do Chrome para a versão 143.0.7499.109/.110 e relançar o navegador;
- Priorizar esta atualização em ambientes com dados sensíveis ou com uso intensivo de credenciais armazenadas no navegador;
- Monitorar comunicações oficiais do Google para eventual liberação de detalhes técnicos e IOCs;
- Em ambientes gerenciados, orquestrar rollout e testar compatibilidade com extensões críticas antes da distribuição em massa.
O Google também informou que, em cases onde o bug reside em bibliotecas de terceiros usadas por múltiplos projetos, os detalhes permanecerão restritos até que outras bases de código estejam corrigidas.