Vulnerabilidade do Chrome CVE-2026-11645
O Google lançou atualizações de segurança de emergência para corrigir mais uma vulnerabilidade zero-day ativamente explorada no navegador Chrome. A falha, identificada como CVE-2026-11645, é a quinta vulnerabilidade zero-day do Chrome corrigida pela empresa desde o início de 2026.
Segundo o Google, as evidências confirmam que um exploit que explora essa vulnerabilidade já está sendo usado em ataques reais. O problema foi relatado anonimamente à empresa e uma correção foi posteriormente implementada por meio do canal Stable Desktop.
As versões corrigidas estão sendo distribuídas globalmente para Windows (149.0.7827.102), macOS (149.0.7827.103) e Linux (149.0.7827.102). No entanto, o processo de atualização pode levar vários dias ou até semanas para chegar a todos os usuários do Chrome.
Para quem não instala atualizações manualmente, o Chrome foi projetado para verificar e aplicar automaticamente as correções de segurança disponíveis na próxima inicialização do navegador.
Índice
Dentro do CVE-2026-11645: Uma falha perigosa no motor V8
A vulnerabilidade de alta gravidade tem origem em uma falha de leitura e gravação fora dos limites no mecanismo JavaScript V8 do Chrome. Os atacantes podem explorar essa falha por meio de páginas HTML especialmente criadas, potencialmente permitindo a execução de código arbitrário dentro do ambiente de sandbox do navegador.
A exploração bem-sucedida dessa vulnerabilidade pode resultar em corrupção de memória, permitindo que os atacantes acessem áreas da memória fora dos limites pretendidos. Esse comportamento pode expor informações confidenciais, causar falhas no navegador ou facilitar outras atividades maliciosas.
Além do acesso não autorizado à memória, a vulnerabilidade também pode ser explorada para burlar proteções de segurança como a Randomização do Layout do Espaço de Endereçamento (ASLR), aumentando a probabilidade de execução de código quando combinada com outras fragilidades.
Divulgação limitada para proteger os usuários
Embora o Google tenha reconhecido a exploração ativa da vulnerabilidade, a empresa ainda não divulgou detalhes técnicos sobre os ataques. O acesso a informações sobre o bug e recursos relacionados pode permanecer restrito até que uma parcela significativa dos usuários do Chrome tenha instalado a atualização de segurança.
As restrições também podem continuar se o código afetado existir em bibliotecas de terceiros que são usadas por outros projetos e que ainda não implementaram suas próprias correções.
Uma lista crescente de ameaças de dia zero em 2026
A vulnerabilidade CVE-2026-11645 junta-se a várias outras vulnerabilidades zero-day do Chrome que foram ativamente exploradas este ano:
- CVE-2026-2441 – Uma vulnerabilidade de invalidação de iterador em CSSFontFeatureValuesMap, corrigida em fevereiro.
- CVE-2026-3909 – Uma falha de escrita fora dos limites na biblioteca gráfica Skia 2D, explorada em março.
- CVE-2026-3910 – Uma vulnerabilidade de implementação inadequada que afeta o mecanismo V8 JavaScript e WebAssembly, também explorada em março.
- CVE-2026-5281 – Uma vulnerabilidade de uso após liberação (use-after-free) no Dawn, a implementação multiplataforma do WebGPU do Chromium, corrigida em abril.
A batalha contínua do Chrome contra as vulnerabilidades de dia zero.
A atualização de emergência mais recente destaca a ameaça persistente representada pelas vulnerabilidades de dia zero que visam navegadores modernos. Ao longo de 2025, o Google corrigiu oito vulnerabilidades de dia zero adicionais no Chrome que estavam sendo exploradas na prática. Várias dessas vulnerabilidades foram identificadas pelo Grupo de Análise de Ameaças (TAG) do Google, uma equipe especializada conhecida por rastrear operações sofisticadas de ciberespionagem e campanhas de spyware.
A descoberta contínua de falhas que estão sendo exploradas ativamente reforça a importância de atualizações oportunas dos navegadores e da rápida correção de vulnerabilidades na proteção dos usuários contra as ameaças cibernéticas em constante evolução.
