O Google liberou uma importante atualização de segurança para o navegador Chrome que corrige 74 vulnerabilidades, incluindo uma falha crítica que já estava sendo explorada em ataques reais contra usuários.
A vulnerabilidade mais grave, registrada como CVE-2026-11645, permite que criminosos executem código malicioso no computador da vítima simplesmente ao fazê-la acessar uma página HTML especialmente preparada para o ataque.
Falha estava no motor JavaScript do Chrome
O problema foi encontrado no V8, componente responsável pela execução de JavaScript e WebAssembly dentro do navegador. Em outras palavras, trata-se de uma das partes mais importantes do Chrome, responsável por fazer sites e aplicações web funcionarem corretamente.
A vulnerabilidade foi classificada como um caso de “out-of-bounds memory access” (acesso fora dos limites de memória), um tipo de falha que permite que um programa leia ou grave informações em áreas da memória que deveriam estar protegidas.
Na prática, isso abre espaço para que invasores executem comandos arbitrários e comprometam a segurança do navegador.
Como o ataque acontece
Para explorar a vulnerabilidade, o atacante precisa apenas convencer a vítima a abrir uma página HTML criada especificamente para acionar a falha.
A partir desse momento, o código malicioso pode ser executado automaticamente no ambiente do navegador, sem necessidade de cliques adicionais ou interação do usuário.
Embora a execução ocorra dentro da sandbox do Chrome — mecanismo de isolamento projetado para impedir que conteúdos maliciosos afetem diretamente o sistema operacional — o Google classificou a vulnerabilidade como de alta gravidade.
A falha recebeu pontuação 8,8 de 10 no sistema CVSS, padrão utilizado pela indústria para medir o impacto de vulnerabilidades de segurança.
Pesquisador recebeu US$ 55 mil pela descoberta
A vulnerabilidade foi identificada pelo pesquisador de segurança conhecido pelo pseudônimo “303f06e3”, que reportou o problema ao Google em 27 de abril de 2026.
Como parte do programa de recompensas da empresa, o especialista recebeu US$ 55 mil pela descoberta.
O caso é um exemplo de divulgação responsável, prática amplamente adotada na comunidade de segurança da informação. Nesse modelo, o pesquisador comunica a falha diretamente ao fabricante antes de divulgá-la publicamente, permitindo que uma correção seja desenvolvida e distribuída aos usuários.
Google confirma ataques em andamento
O Google confirmou que existe um exploit ativo para a CVE-2026-11645, indicando que a vulnerabilidade já está sendo utilizada por agentes mal-intencionados em ataques reais.
Como costuma ocorrer nesses casos, a empresa não divulgou detalhes técnicos sobre a exploração da falha para evitar que mais criminosos possam reproduzir os ataques antes que a maioria dos usuários instale a atualização.
Com essa correção, o Chrome já acumula cinco vulnerabilidades zero-day corrigidas em 2026. As anteriores foram identificadas como:
- CVE-2026-2441
- CVE-2026-3909
- CVE-2026-3910
- CVE-2026-5281
Falhas classificadas como zero-day são especialmente perigosas porque são exploradas antes que uma correção esteja amplamente disponível para os usuários.
Como atualizar o Google Chrome
O procedimento para instalar a atualização é simples e leva apenas alguns minutos.
- Abra o Google Chrome;
- Clique no menu de três pontos localizado no canto superior direito;
- Acesse Ajuda;
- Clique em Sobre o Google Chrome;
- Aguarde a verificação automática por novas versões;
- Reinicie o navegador após a instalação.
As versões corrigidas são:
- Windows e macOS: 149.0.7827.103
- Linux: 149.0.7827.102
Outros navegadores também devem ser atualizados
Usuários de navegadores baseados no projeto Chromium também devem ficar atentos às atualizações disponibilizadas pelos respectivos fabricantes.
Entre eles estão:
- Microsoft Edge
- Brave
- Opera
- Vivaldi
Como esses navegadores compartilham parte do mesmo código-fonte do Chrome, correções relacionadas ao Chromium costumam ser incorporadas posteriormente por cada desenvolvedor.
Atualização deve ser instalada o quanto antes
A confirmação de exploração ativa eleva significativamente o nível de urgência da atualização. Especialistas recomendam que usuários domésticos e empresas instalem a correção imediatamente para reduzir o risco de comprometimento dos sistemas.
Em um cenário onde ataques baseados em navegadores continuam crescendo, manter o Chrome atualizado segue sendo uma das medidas mais simples e eficazes para reforçar a segurança digital.
