Hack Alerta

Google lança correção de emergência para zero-day explorado ativamente no Chrome

Por Redação Hack Alerta Publicado em 01/04/2026 10:02 Vazamento de dados Tempo de leitura: 4 min

Google lança correção de emergência para zero-day explorado ativamente no Chrome, corrigindo falha crítica na camada GPU que permite execução de código.

Descoberta e escopo da vulnerabilidade

O Google anunciou uma atualização de emergência para o navegador Chrome, corrigindo uma vulnerabilidade de dia zero (zero-day) que já está sendo explorada ativamente em ataques na natureza. A falha, rastreada como CVE-2026-5281, é classificada como uma vulnerabilidade de uso após liberação (use-after-free) na camada de abstração de GPU cross-platform do Chrome, conhecida como Dawn, utilizada para implementar o WebGPU.

Esses tipos de falhas ocorrem quando um programa continua a referenciar memória que já foi liberada, permitindo potencialmente que atacantes executem código arbitrário ou escapem da sandbox do navegador. O Google confirmou oficialmente a exploração ativa, declarando que "está ciente de que existe um exploit para CVE-2026-5281 na natureza". A falha foi descoberta e relatada por um pesquisador anônimo em 10 de março de 2026.

Os detalhes técnicos da vulnerabilidade permanecem restritos até que a maioria dos usuários receba o patch, uma prática padrão do Google para limitar a replicação do exploit. A atualização do canal Stable já está disponível para versões 146.0.7680.177/178 no Windows e Mac, e 146.0.7680.177 no Linux.

Impacto e alcance da atualização

Além do zero-day, esta atualização entrega um conjunto abrangente de 21 correções de segurança, um lote incomumente grande que sinaliza atividade de segurança interna significativa. Destas, 19 são classificadas como de alta severidade e abrangem uma ampla gama de subsistemas do Chrome.

As vulnerabilidades notáveis corrigidas nesta versão incluem:

  • CVE-2026-5273 — Uso após liberação em CSS (relatado em 18 de março)
  • CVE-2026-5272 — Transbordamento de buffer na GPU (relatado em 11 de março)
  • CVE-2026-5274 — Transbordamento de inteiro em Codecs (relatado em 1º de março)
  • CVE-2026-5275 — Transbordamento de buffer em ANGLE (relatado em 4 de março)
  • CVE-2026-5276 — Aplicação insuficiente de políticas em WebUSB (relatado em 4 de março)
  • CVE-2026-5278 — Uso após liberação em Web MIDI (relatado em 6 de março)
  • CVE-2026-5279 — Corrupção de objeto em V8 (relatado em 8 de março)
  • CVE-2026-5280 — Uso após liberação em WebCodecs (relatado em 11 de março)
  • CVE-2026-5284 — Uso após liberação em Dawn (relatado em 12 de março)
  • CVE-2026-5285 — Uso após liberação em WebGL (relatado em 13 de março)
  • CVE-2026-5287 — Uso após liberação em PDF (relatado em 21 de março)
  • CVE-2026-5288 — Uso após liberação em WebView (relatado pelo Google, 23 de março)
  • CVE-2026-5289 — Uso após liberação em Navegação (relatado pelo Google, 25 de março)
  • CVE-2026-5290 — Uso após liberação em Composição (relatado pelo Google, 25 de março)

A concentração de bugs de uso após liberação espalhados por Dawn, WebGL, WebCodecs, Web MIDI, WebView, Navegação e Composição destaca os desafios contínuos de segurança de memória nos pipelines de renderização de navegadores.

Recomendações para CISOs e equipes de segurança

Todos os usuários do Chrome executando versões anteriores a 146.0.7680.177 no Linux ou 146.0.7680.178 no Windows e Mac estão potencialmente expostos. Dada a exploração confirmada na natureza do CVE-2026-5281, usuários corporativos e equipes de segurança devem tratar esta atualização como uma prioridade crítica.

Para atualizar o Chrome imediatamente, os usuários devem navegar até Menu (⋮) → Ajuda → Sobre o Google Chrome. O navegador verificará automaticamente e aplicará a atualização mais recente, solicitando uma reinicialização para completar o processo. Organizações que gerenciam implantações do Chrome via política devem empurrar a atualização por meio de suas plataformas de gerenciamento de endpoint sem demora.

Ao nível de governança, recomenda-se a implementação de políticas de atualização forçada para garantir que todos os dispositivos corporativos recebam o patch dentro de 24 horas. Além disso, equipes de SOC devem monitorar logs de navegação em busca de tentativas de acesso a URLs maliciosas que possam estar explorando a falha antes da correção ser aplicada.

Perguntas frequentes

Qual é a gravidade da vulnerabilidade?
A vulnerabilidade é classificada como crítica devido à exploração ativa e ao potencial de execução de código arbitrário fora da sandbox.

Como saber se meu sistema foi comprometido?
Não há indicadores de comprometimento (IOCs) públicos específicos para esta exploração no momento, mas o monitoramento de comportamento anômalo no navegador e no sistema operacional é recomendado.

Devo desinstalar o Chrome?
Não. A atualização de segurança deve ser aplicada imediatamente. A desinstalação não é necessária e pode interromper fluxos de trabalho corporativos.

Baseado em publicação original de Cyber Security News
Tags: #=chrome #zero-day #google #vulnerabilidade #patch #cve-2026-5281 #segurança #navegador
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar