Hack Alerta

CISA inclui zero‑day CVE‑2025‑14174 em Chromium explorado em ataque

Por Redação Hack Alerta Publicado em 13/12/2025 12:01 Riscos e Ameaças Tempo de leitura: 2 min

CISA incluiu CVE‑2025‑14174, zero‑day no ANGLE do Chromium, no KEV; NVD apontou CVSS 8.8. Correções já foram liberadas (Chrome 131.0.6778.201+, Edge 131.0.3139.95+) e não há IoCs públicos divulgados.

Resumo

CISA adicionou a falha zero‑day CVE‑2025‑14174, no motor ANGLE do Chromium, ao catálogo Known Exploited Vulnerabilities. A vulnerabilidade permite out‑of‑bounds durante renderização e pode levar à execução remota de código; Google e Microsoft já publicaram correções estáveis.

Descoberta e escopo / O que mudou agora

CVE‑2025‑14174 foi detectada no componente ANGLE, responsável pela interface OpenGL ES do Chromium. O NVD atribuiu avaliação inicial com CVSS v3.1 8.8 (alta). CISA incluiu a falha em seu catálogo KEV, o que provoca exigência de mitigação em ambientes federais dentro do prazo estipulado pela agência.

Vetor e exploração / Mitigações

A exploração ocorre quando uma página HTML manipulada desencadeia acesso fora dos limites na camada de renderização do ANGLE. O relatório indica que um artefato web pode invocar a falha durante o processo de renderização, em alguns cenários contornando proteções de sandbox. Não foram publicados indicadores de comprometimento (IoCs) públicos no momento.

Impacto e alcance / Setores afetados

  • Produtos afetados: versões do Chromium anteriores a 131.0.6778.200; correções já disponibilizadas nas branches estáveis — Chrome 131.0.6778.201+ e Edge 131.0.3139.95+.
  • Alcance amplo: navegadores baseados em Chromium representam parcela expressiva do mercado de desktop, ampliando o risco de ataques de drive‑by, malvertising e campanhas de phishing que encadeiem a vulnerabilidade.
  • Ambientes federais: conforme a nota, sistemas governamentais devem aplicar mitigação até 02/01/2026 ou descontinuar produtos afetados.

Limites das informações / O que falta saber

O alerta indica exploração, mas não fornece amostras públicas, rotinas de exploração ou IoCs. A origem das explorações em ataque ativo não foi detalhada. Também não há métrica pública sobre quantos sistemas permaneceriam expostos, nem exemplos analisados que mostrem cadeia de ataque completa (phishing → exploração → payload).

Recomendações práticas

  • Aplicar as atualizações estáveis publicadas: atualizar Chrome para 131.0.6778.201+ e Edge para 131.0.3139.95+.
  • Forçar reinício dos navegadores após atualização, conforme nota do fornecedor.
  • Escanear frota por versões do Chromium < 131.0.6778.200 e bloquear temporariamente conteúdo web não confiável por meio de políticas de proxy e filtragem de malvertising.
  • Monitorar crashes de renderização e atividades anômalas no host que possam indicar exploração.

Fonte: Cyber Security News

Baseado em publicação original de Cyber Security News
Tags: #chromium #zero-day #cve-2025-14174 #angle #chrome #cisa #kev #patch #exploit
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar