Google corrige zero-day explorado ativamente no Chrome com 74 atualizações de segurança
O Google lançou uma atualização de emergência para o navegador Chrome, corrigindo uma vulnerabilidade zero-day crítica que está sendo explorada ativamente na natureza. A versão estável foi atualizada para 149.0.7827.102/.103 no Windows e Mac, e 149.0.7827.102 no Linux, abordando 74 vulnerabilidades de segurança, incluindo uma confirmada como zero-day.
O que mudou agora
A falha mais crítica nesta atualização é o CVE-2026-11645, uma vulnerabilidade de alto nível de acesso fora dos limites de memória no mecanismo JavaScript V8 do Chrome. Falhas de acesso fora dos limites de memória no V8 são particularmente perigosas porque o mecanismo processa JavaScript não confiável de todos os sites que um usuário visita. A exploração bem-sucedida pode corromper a memória, vazar dados sensíveis ou, quando encadeada com outras falhas, levar à execução remota de código simplesmente atraindo uma vítima para uma página maliciosa.
O Google confirmou explicitamente: "O Google está ciente de que existe um exploit para o CVE-2026-11645 na natureza." Falhas de acesso fora dos limites de memória no V8 são particularmente perigosas porque os atacantes podem aproveitá-las para executar código arbitrário dentro do processo de renderizador do navegador, potencialmente levando à fuga da sandbox e comprometimento total do sistema quando encadeadas com outros exploits.
A descoberta foi feita por um pesquisador externo identificado como "303f06e3" em 27 de abril de 2026, e o Google concedeu uma recompensa de bug de US$ 55.000 pelo relatório, refletindo seu potencial de impacto significativo.
Impacto e alcance
A atualização é muito mais do que um patch de bug único. No total, o lançamento inclui 74 correções de segurança, incluindo 17 vulnerabilidades críticas. A grande maioria são defeitos de use-after-free (UAF) — uma classe de corrupção de memória que permanece como a espinha dorsal mais persistente na segurança de navegadores.
As vulnerabilidades de alto nível incluem 57 falhas adicionais afetando quase todos os principais subsistemas do Chrome, incluindo V8 (CVE-2026-11649/11650), WebRTC (CVE-2026-11667), PDF (CVE-2026-11670), ServiceWorker (CVE-2026-11656/11694), Extensões (CVE-2026-11652/11653), Rede (CVE-2026-11651/11677) e GPU (CVE-2026-11672).
A gama de componentes afetados sinaliza uma auditoria de segurança interna abrangente conduzida pelos próprios pesquisadores do Google entre o final de abril e o final de maio de 2026. Notavelmente, o CVE-2026-11662 introduz uma Confusão de Tipo em Bindings, e o CVE-2026-11688 sinaliza uma Questão de Ciclo de Vida do Objeto em SVG — ambas classes de bugs comumente aproveitadas em cadeias de exploits de navegador.
Medidas de mitigação recomendadas
Os usuários não devem esperar pela atualização automática. Para atualizar manualmente:
- Abra o Chrome e clique no menu de três pontos (⋮) no canto superior direito
- Navegue até Ajuda → Sobre o Google Chrome
- O Chrome verificará atualizações automaticamente — clique em Reiniciar após o download da atualização
Administradores de empresas devem priorizar a distribuição da versão 149.0.7827.102/103 em endpoints gerenciados imediatamente, dada a exploração confirmada na natureza do CVE-2026-11645.
Implicações regulatórias e operacionais
Para organizações sob a LGPD, a falha no navegador pode resultar em vazamento de dados se credenciais ou dados sensíveis forem acessados através de sessões comprometidas. A atualização deve ser tratada como prioridade máxima para conformidade e proteção de dados.
Perguntas frequentes
Qual é a severidade do CVE-2026-11645?
É uma vulnerabilidade de alto nível no mecanismo V8, com potencial para execução remota de código e fuga de sandbox.
Quais versões são afetadas?
Todas as versões anteriores à 149.0.7827.102/103 para Windows, Mac e Linux.
Devo atualizar imediatamente?
Sim, devido à exploração ativa confirmada na natureza.