O Google lançou o Chrome 147 para o canal estável para Windows, Mac e Linux, corrigindo um conjunto abrangente de vulnerabilidades de segurança, incluindo duas falhas de gravidade crítica que poderiam permitir que atacantes remotos executassem código arbitrário em sistemas visados.
Vulnerabilidades críticas identificadas
As vulnerabilidades mais graves nesta versão são o CVE-2026-5858 e o CVE-2026-5859, ambas com classificação de gravidade Crítica e comandando uma recompensa de bug de $43.000 cada.
O CVE-2026-5858 é um estouro de buffer de heap na implementação do WebML do Chrome da API Web Machine Learning, relatado pelo pesquisador c6eed09fc8b174b0f3eebedcceb1e792 em 17 de março de 2026.
O CVE-2026-5859 é um estouro de inteiro no WebML, relatado anonimamente em 19 de março de 2026. Ambas as vulnerabilidades podem ser acionadas por meio de uma página HTML especialmente elaborada, permitindo que atacantes remotos corrompam a memória heap e potencialmente alcancem execução de código arbitrário dentro do processo do navegador.
O WebML é projetado para acelerar a inferência de aprendizado de máquina diretamente dentro do navegador. Ao processar dados de tensor malformados ou realizar operações de modelo de ML, a implementação falha em validar corretamente os limites de memória, permitindo que atacantes escrevam além dos buffers alocados, um precursor clássico de exploits de execução de código.
Outras vulnerabilidades de alta severidade corrigidas
Além dos dois bugs críticos, esta atualização aborda 14 CVEs de alta severidade que abrangem vários subsistemas do navegador:
- CVE-2026-5860 – Use-after-free no WebRTC
- CVE-2026-5861 – Use-after-free no motor JavaScript V8
- CVE-2026-5862 & CVE-2026-5863 – Implementação inadequada no V8
- CVE-2026-5864 – Estouro de buffer de heap no WebAudio
- CVE-2026-5865 – Confusão de tipo no V8
- CVE-2026-5866 – Use-after-free no Media
- CVE-2026-5867 & CVE-2026-5869 – Estouro de buffer de heap no WebML
- CVE-2026-5868 – Estouro de buffer de heap na camada gráfica ANGLE
- CVE-2026-5870 & CVE-2026-5871 – Estouro de inteiro no Skia e Confusão de tipo no V8
- CVE-2026-5872 & CVE-2026-5873 – Use-after-free no Blink e leitura/escrita fora dos limites no V8
Bugs de use-after-free e confusão de tipo no V8 são particularmente perigosos, pois o ambiente de execução privilegiado do V8 os torna viáveis como caminhos para escape de sandbox quando encadeados com exploits de renderizador.
Impacto e alcance
A atualização também resolve vulnerabilidades de gravidade média e baixa que cobrem uma ampla gama de subsistemas, incluindo bypass de políticas no Blink, LocalNetworkAccess, PWAs e ServiceWorkers; UI de segurança incorreta em tela cheia, omnibox e UI do navegador; uma falha criptográfica no PDFium (CVE-2026-5889); uma condição de corrida no WebCodecs; e validação de entrada insuficiente em Downloads, WebML e ANGLE.
Embora de menor urgência, essas bugs podem permitir que atacantes spoofem elementos de UI confiáveis, vazem dados de navegação sensíveis ou contornem políticas de segurança de conteúdo, complementando cadeias de exploits mais graves.
Recomendações para administradores
Esta atualização aborda vulnerabilidades em versões do Chrome anteriores à 147.0.7727.55 para Linux e 147.0.7727.55/56 para Windows e Mac. Os usuários devem atualizar imediatamente navegando até Menu do Chrome → Ajuda → Sobre o Google Chrome.
A infraestrutura de fuzzing do Google, incluindo AddressSanitizer, MemorySanitizer, libFuzzer e AFL, foi instrumental na detecção de muitas dessas bugs antes que pudessem ser armadas na natureza.