CISA emitiu alerta urgente sobre um zero-day no Google Chrome (CVE-2025-13223) que já está sendo explorado em ataques; a falha foi corrigida por atualização estável do Google em 19 de novembro de 2025.
Descoberta e panorama
CVE-2025-13223 é um problema de type confusion no motor JavaScript V8 do Chromium que pode provocar corrupção de heap e permitir execução remota de código. O erro afetava versões do Chrome anteriores à 131.0.6778.72 e foi corrigido por Google em atualização estável lançada em 19/11/2025.
Vetor de exploração e impacto técnico
Segundo as comunicações oficiais, a exploração exige apenas que a vítima visite páginas maliciosas cujo conteúdo seja renderizado pelo motor V8; não há necessidade de interação além do carregamento. A falha tem pontuação CVSS reportada de 8.8 (High) e permite RCE via corrupção de heap em navegadores baseados em Chromium.
Sistemas afetados
- Google Chrome em versões anteriores a 131.0.6778.72;
- Navegadores baseados em Chromium (por exemplo, Microsoft Edge, Brave) também são apontados como atingidos, por compartilharem o mesmo motor de renderização.
Resposta e orientações
A CISA incluiu a vulnerabilidade no catálogo Known Exploited Vulnerabilities (KEV) e estabeleceu prazo para mitigação em agências federais até 10 de dezembro de 2025. A orientação técnica imediata é atualizar os navegadores para a versão estável mais recente disponibilizada pelo Google. Onde a atualização não for possível, as orientações citam mitigação operacional e princípios de zero-trust; para ambientes de nuvem recomenda-se alinhamento com Binding Operational Directive 22-01.
Riscos práticos e recomendações para equipes de segurança
Com mais de 3 bilhões de usuários potencialmente expostos ao ecossistema Chromium, a janela entre divulgação e exploração ativa torna a aplicação do patch uma prioridade. Equipes de segurança devem:
- Distribuir e forçar a atualização do Chrome nas estações e servidores de trabalho;
- Inventariar navegadores baseados em Chromium e aplicar correções equivalentes;
- Monitorar logs de navegação e proxies para IOCs relacionados a páginas maliciosas e URLs de entrega;
- Aplicar mitigadores temporários em ambientes críticos quando a atualização imediata não for viável.
Limites da informação
As fontes informam que a vulnerabilidade já está sendo explorada, mas não detalham campanhas específicas, vetores de entrega além do carregamento de páginas maliciosas, nem indicadores públicos extensos. As contagens de incidentes e atores por trás da exploração não são fornecidas nas comunicações citadas.
Contexto regulatório
Para organizações sujeitas a requisitos de segurança governamentais, a inclusão no KEV implica obrigação de mitigação conforme cronograma da CISA; operadoras abrigadas por normas de compliance devem priorizar a remediação e documentar o rollout de patches para auditoria.
Resumo técnico
CVE-2025-13223 é um zero-day de type confusion em V8 que possibilita corrupção de heap e execução remota de código em Chromium. A mitigação conhecida e recomendada é atualizar o navegador para a versão estável liberada em 19/11/2025; equipes que não possam atualizar devem aplicar controles compensatórios até a correção estar disponível nos endpoints.