O Google lançou um patch de segurança para o navegador Chrome para corrigir três vulnerabilidades críticas, incluindo a
CVE-2025-5419
, uma vulnerabilidade do tipo zero-day que já estava sendo ativamente explorada.
O problema foi descrito como uma falha nos mecanismos de leitura e escrita além dos limites permitidos no motor JavaScript V8.
Segundo informações divulgadas pelo Google, é possível que o exploit associado à
CVE-2025-5419
tenha sido utilizado por empresas especializadas na venda de spyware.
A falha foi identificada por Clément Lecigne e Benoît Sevens, pesquisadores que fazem parte do Google Threat Analysis Group (TAG), conhecidos por descobrirem outras vulnerabilidades aproveitadas por softwares de espionagem.
De acordo com o NIST, esta vulnerabilidade específica poderia permitir que uma página HTML maliciosa causasse uma corrupção de heap, podendo resultar na execução de código arbitrário.
A Google, contudo, não divulgou mais informações técnicas sobre a falha ou sobre o exploit.
Além da vulnerabilidade crítica mencionada, o Google também resolveu a
CVE-2025-5068
, identificada como um problema de gravidade média relacionado a um use-after-free no Blink.
Por esta descoberta, o pesquisador envolvido foi recompensado com US$ 1.000.
No entanto, não será oferecida recompensa para a descoberta da falha
CVE-2025-5419
.
A nova versão do Chrome, 137.0.7151.68/.69 para Windows e macOS, e a versão 137.0.7151.68 para Linux, já estão disponíveis para download.
Este update vem após a correção de outra falha significativa (CVE-2025-2783) também explorada em ataques e que foi reparada em março, esta última associada a um grupo patrocinado pelo governo russo.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...