Google Chrome Corrige Vulnerabilidade Zero-Day Explorada Ativamente por Hackers
Engenheiros do Google lançaram atualizações emergenciais para o Chrome, corrigindo 74 vulnerabilidades, incluindo uma falha zero-day (CVE-2026-11645) que já está sendo explorada em ataques reais. A falha, classificada com 8.8 no CVSS, afeta o motor V8 e permite a execução remota de código.
MundiX News·11 de junho de 2026·4 min de leitura·👁 8 views
Engenheiros do Google lançaram atualizações emergenciais para o navegador Chrome, corrigindo um total de 74 vulnerabilidades. Entre os problemas resolvidos está uma vulnerabilidade zero-day, identificada como CVE-2026-11645, que já está sendo ativamente explorada por cibercriminosos em ataques reais. Essa falha recebeu uma pontuação de 8.8 na escala CVSS e afeta o motor V8, responsável pela execução de JavaScript e WebAssembly. A vulnerabilidade consiste em um problema de leitura/escrita fora dos limites (out-of-bounds read-write). Se uma vítima abrir uma página HTML especialmente elaborada, um atacante pode obter a capacidade de executar código arbitrário dentro do sandbox do navegador.
A vulnerabilidade foi descoberta por um pesquisador independente sob o pseudônimo 303f06e3, que reportou o problema ao Google em 27 de abril de 2026. Foi informado que o especialista recebeu uma recompensa de US$ 55.000 pela divulgação responsável da falha. Representantes do Google alertam que a vulnerabilidade zero-day já está sendo utilizada por hackers, mas ainda não divulgaram detalhes sobre os ataques. A empresa explica que o acesso a informações técnicas sobre o problema e sua exploração permanecerá restrito até que a maioria dos usuários instale os patches.
De acordo com pesquisadores, a CVE-2026-11645 permite não apenas a leitura e escrita de dados fora do buffer de memória. A exploração bem-sucedida também pode levar à corrupção do heap, vazamento de informações confidenciais e travamento do navegador. Além disso, a falha potencialmente auxilia na evasão de mecanismos de proteção (como ASLR - Address Space Layout Randomization), facilitando a execução subsequente de código através de outras vulnerabilidades. As correções já estão disponíveis para usuários do Chrome no Windows e Linux, que devem atualizar para a versão 149.0.7827.102, e para usuários de macOS, na versão 149.0.7827.103.
É importante notar que a CVE-2026-11645 é a quinta vulnerabilidade zero-day corrigida no navegador do Google em 2026. A primeira foi a CVE-2026-2441, um bug no CSSFontFeatureValuesMap, corrigido em meados de fevereiro. Em março, os desenvolvedores fecharam duas vulnerabilidades (CVE-2026-3909 e CVE-2026-3910) no V8 JavaScript e WebAssembly, bem como no Skia, uma biblioteca de gráficos 2D open-source responsável pela renderização de conteúdo web e elementos de interface no Chrome. A quarta vulnerabilidade (CVE-2026-5281), corrigida em abril, estava relacionada a um bug use-after-free no Dawn, uma implementação multiplataforma do padrão WebGPU utilizada pelo Chromium. Para comparação, ao longo de todo o ano de 2025, o Google corrigiu oito vulnerabilidades zero-day, muitas delas descobertas pela equipe do Google Threat Analysis Group (TAG), especializada no rastreamento de spyware.
Engenheiros do Google lançaram atualizações emergenciais para o navegador Chrome, corrigindo um total de 74 vulnerabilidades. Entre os problemas resolvidos está uma vulnerabilidade zero-day, identificada como CVE-2026-11645, que já está sendo ativamente explorada por cibercriminosos em ataques reais. Essa falha recebeu uma pontuação de 8.8 na escala CVSS e afeta o motor V8, responsável pela execução de JavaScript e WebAssembly. A vulnerabilidade consiste em um problema de leitura/escrita fora dos limites (out-of-bounds read-write). Se uma vítima abrir uma página HTML especialmente elaborada, um atacante pode obter a capacidade de executar código arbitrário dentro do sandbox do navegador.
A vulnerabilidade foi descoberta por um pesquisador independente sob o pseudônimo 303f06e3, que reportou o problema ao Google em 27 de abril de 2026. Foi informado que o especialista recebeu uma recompensa de US$ 55.000 pela divulgação responsável da falha. Representantes do Google alertam que a vulnerabilidade zero-day já está sendo utilizada por hackers, mas ainda não divulgaram detalhes sobre os ataques. A empresa explica que o acesso a informações técnicas sobre o problema e sua exploração permanecerá restrito até que a maioria dos usuários instale os patches.
De acordo com pesquisadores, a CVE-2026-11645 permite não apenas a leitura e escrita de dados fora do buffer de memória. A exploração bem-sucedida também pode levar à corrupção do heap, vazamento de informações confidenciais e travamento do navegador. Além disso, a falha potencialmente auxilia na evasão de mecanismos de proteção (como ASLR - Address Space Layout Randomization), facilitando a execução subsequente de código através de outras vulnerabilidades. As correções já estão disponíveis para usuários do Chrome no Windows e Linux, que devem atualizar para a versão 149.0.7827.102, e para usuários de macOS, na versão 149.0.7827.103.
É importante notar que a CVE-2026-11645 é a quinta vulnerabilidade zero-day corrigida no navegador do Google em 2026. A primeira foi a CVE-2026-2441, um bug no CSSFontFeatureValuesMap, corrigido em meados de fevereiro. Em março, os desenvolvedores fecharam duas vulnerabilidades (CVE-2026-3909 e CVE-2026-3910) no V8 JavaScript e WebAssembly, bem como no Skia, uma biblioteca de gráficos 2D open-source responsável pela renderização de conteúdo web e elementos de interface no Chrome. A quarta vulnerabilidade (CVE-2026-5281), corrigida em abril, estava relacionada a um bug use-after-free no Dawn, uma implementação multiplataforma do padrão WebGPU utilizada pelo Chromium. Para comparação, ao longo de todo o ano de 2025, o Google corrigiu oito vulnerabilidades zero-day, muitas delas descobertas pela equipe do Google Threat Analysis Group (TAG), especializada no rastreamento de spyware.
