O Google lançou atualizações emergenciais para corrigir duas vulnerabilidades críticas no Chrome que estão sendo exploradas em ataques zero-day.
Em comunicado divulgado na quinta-feira, a empresa informou: “Temos conhecimento de exploits em circulação para as falhas CVE-2026-3909 e CVE-2026-3910”.
A primeira vulnerabilidade (CVE-2026-3909) é causada por um erro de escrita fora dos limites (out-of-bounds write) no Skia, uma biblioteca open source de gráficos 2D responsável por renderizar elementos da interface e conteúdos web.
Essa falha pode permitir que invasores provoquem crashes no navegador ou até executem código malicioso.
A segunda vulnerabilidade (CVE-2026-3910) está relacionada a uma implementação inadequada no motor V8, responsável pelo processamento de JavaScript e WebAssembly no Chrome.
O Google identificou os problemas e liberou os patches em até dois dias após o reporte, disponibilizando as atualizações para as versões estáveis do Chrome para Windows (146.0.7680.75), macOS (146.0.7680.76) e Linux (146.0.7680.75).
Embora o Google informe que a atualização pode levar dias ou semanas para alcançar todos os usuários, a versão corrigida já estava disponível para instalação imediata quando verificada pelo site BleepingComputer.
Quem preferir não atualizar manualmente pode ativar a verificação automática do navegador, que instala as correções na próxima inicialização.
Apesar de confirmar a exploração ativa dessas vulnerabilidades, a empresa não divulgou mais detalhes sobre os incidentes para evitar riscos maiores.
Segundo o comunicado, “os detalhes e links relacionados às falhas podem ser mantidos restritos até que a maioria dos usuários tenha aplicado a correção.
Essa restrição também vale para bugs em bibliotecas de terceiros, que podem afetar outros projetos ainda não atualizados”.
Essas são a segunda e a terceira vulnerabilidades zero-day do Chrome corrigidas em 2026.
A primeira, identificada como
CVE-2026-2441
, foi uma falha de invalidação de iteradores no CSSFontFeatureValuesMap — componente que trata valores de fontes em CSS — corrigida em meados de fevereiro.
No ano passado, o Google corrigiu oito zero-days explorados na prática, muitos reportados pelo Threat Analysis Group (TAG), equipe especializada em identificar vulnerabilidades usadas em ataques com spyware.
Além disso, na quinta-feira, a empresa anunciou o pagamento de mais de US$ 17 milhões a 747 pesquisadores de segurança que reportaram falhas via seu programa de recompensa por vulnerabilidades (Vulnerability Reward Program – VRP) em 2025.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...