O Google lançou uma nova atualização de segurança do Chrome abordando 28 vulnerabilidades, incluindo várias falhas críticas que poderiam permitir que atacantes executassem código malicioso em sistemas afetados. A última atualização do canal Stable atualiza o Chrome para a versão 149.0.7827.114/.115 no Windows e macOS, e para 149.0.7827.114 no Linux. A implantação está sendo realizada gradualmente e espera-se que alcance os usuários nos próximos dias e semanas.
Principais falhas corrigidas
Entre as questões mais graves corrigidas estão várias vulnerabilidades críticas de corrupção de memória. Estas incluem várias falhas use-after-free em componentes principais, incluindo Core, DigitalCredentials e WebMIDI, identificadas como CVE-2026-12007, CVE-2026-12008 e CVE-2026-12011. Tais vulnerabilidades ocorrem quando a memória é gerenciada inadequadamente, permitindo que atacantes manipulem regiões de memória liberadas.
O Google também abordou uma vulnerabilidade crítica de overflow de buffer de heap no componente GPU, rastreada como CVE-2026-12010, juntamente com uma questão de validação insuficiente de entrada não confiável no componente Accessibility, identificada como CVE-2026-12009. Essas falhas poderiam ser exploradas convencendo usuários a visitar páginas web especialmente elaboradas, potencialmente permitindo execução de código arbitrário e levando ao comprometimento total do sistema.
Componentes afetados
Além das vulnerabilidades críticas, a atualização resolve inúmeras questões de alta severidade afetando uma ampla gama de componentes do Chrome. Várias dessas envolvem vulnerabilidades use-after-free em módulos Network, Media, Autofill, GPU, Video e Views. Essas bugs podem levar à corrupção de memória e são frequentemente alavancadas em cadeias de exploração. Outras questões de alta severidade incluem vulnerabilidades de leitura e escrita fora dos limites em componentes como Codecs, Video e VideoCapture.
Uma vulnerabilidade de overflow de buffer de heap no componente GPU aumenta ainda mais o risco de exploração. A atualização também corrige múltiplas instâncias de validação insuficiente de entrada não confiável em DevTools, Extensions, Network e Linux Toolkit Theming. Além disso, o Google abordou questões de aplicação inadequada de política em DevTools e modo Headless, bem como uma vulnerabilidade de condição de corrida em Safe Browsing.
Recomendações para organizações
Embora o Google não tenha confirmado se essas vulnerabilidades estão sendo exploradas ativamente na natureza, a presença de múltiplas falhas relacionadas à memória aumenta significativamente a probabilidade de exploração. Attackers frequentemente visam tais vulnerabilidades através de sites maliciosos, kits de exploração ou redes de publicidade comprometidas. Para minimizar o risco, o Google restringiu o acesso a informações detalhadas sobre vulnerabilidades até que a maioria dos usuários tenha instalado a atualização.
Os usuários são fortemente encorajados a atualizar o Chrome imediatamente para a versão mais recente para se proteger contra ameaças potenciais. Embora as atualizações automáticas sejam normalmente habilitadas, os usuários podem verificar manualmente a versão do navegador através do painel de configurações do Chrome. Organizações devem priorizar a implantação de patches em todos os sistemas para reduzir a exposição e prevenir possível exploração.
O que os CISOs devem fazer imediatamente
Organizações devem priorizar a implantação de patches em todos os sistemas para reduzir a exposição e prevenir possível exploração. O Google enfatizou o papel de ferramentas avançadas de detecção como AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer e AFL na descoberta e mitigação de falhas de segurança durante o desenvolvimento. A atualização é implantada gradualmente e espera-se que alcance os usuários nos próximos dias e semanas.