A Google lançou atualizações de segurança para corrigir uma vulnerabilidade em seu navegador Chrome, para a qual existe um exploit em circulação.
A vulnerabilidade de zero-day, identificada como
CVE-2025-6554
(pontuação CVSS: N/A), foi descrita como falha de confusão de tipos no motor V8 JavaScript e WebAssembly.
"Confusão de tipos no V8 no Google Chrome antes da versão 138.0.7204.96 permitia que um atacante remoto realizasse leituras/escritas arbitrárias por meio de uma página HTML manipulada," segundo a descrição do bug no NVD (National Vulnerability Database) do NIST.
Vulnerabilidades de confusão de tipo podem ter consequências graves, pois podem ser exploradas para desencadear comportamentos inesperados no software, resultando na execução de código arbitrário e falhas do programa.
Bugs de zero-day como este são especialmente arriscados porque os atacantes frequentemente começam a utilizá-los antes que uma correção esteja disponível.
Em ataques reais, essas falhas podem permitir que hackers instalem spyware, realizem downloads drive-by ou executem silenciosamente códigos maliciosos — às vezes apenas fazendo com que alguém abra um site malicioso.
Clément Lecigne, do Grupo de Análise de Ameaças (TAG) da Google, foi creditado pela descoberta e relato da falha em 25 de junho de 2025, sinalizando que ela pode ter sido usada em ataques altamente direcionados — possivelmente envolvendo atores de estados-nação ou operações de vigilância.
O TAG geralmente detecta e investiga ameaças sérias como ataques patrocinados por governos.
A gigante da tecnologia também observou que o problema foi mitigado no dia seguinte por meio de uma mudança de configuração que foi distribuída para o canal Estável em todas as plataformas.
Para os usuários comuns, isso significa que a ameaça pode ainda não ser generalizada, mas ainda é urgente aplicar a correção — especialmente se você está em funções que lidam com dados sensíveis ou de alto valor.
A Google não liberou detalhes adicionais sobre a vulnerabilidade e quem pode tê-la explorado, mas reconheceu que "um exploit para o
CVE-2025-6554
existe em circulação".
O
CVE-2025-6554
é a quarta vulnerabilidade de zero-day no Chrome a ser abordada pela Google desde o início do ano, após o CVE-2025-2783,
CVE-2025-4664
e
CVE-2025-5419
.
No entanto, vale ressaltar que não há clareza sobre se o
CVE-2025-4664
foi utilizado de maneira maliciosa.
Para se proteger contra ameaças potenciais, é aconselhado atualizar seu navegador Chrome para as versões 138.0.7204.96/.97 para Windows, 138.0.7204.92/.93 para macOS, e 138.0.7204.96 para Linux.
Se não tiver certeza se seu navegador está atualizado, vá para Configurações > Ajuda > Sobre o Google Chrome — isso deve acionar a atualização mais recente automaticamente.
Para empresas e equipes de TI que gerenciam múltiplos endpoints, habilitar o gerenciamento automático de patches e monitorar a conformidade da versão do navegador é crítico.
Usuários de outros navegadores baseados em Chromium como Microsoft Edge, Brave, Opera e Vivaldi também são aconselhados a aplicar as correções assim que estiverem disponíveis.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...