Na terça-feira, o Google disponibilizou correções para seis questões de segurança em seu navegador web Chrome, incluindo uma que, segundo a empresa, foi explorada ativamente.
A vulnerabilidade de alta gravidade em questão é a
CVE-2025-6558
(pontuação CVSS: 8.8), descrita como uma validação incorreta de entrada não confiável nos componentes ANGLE e GPU do navegador.
"Validação insuficiente de entrada não confiável em ANGLE e GPU no Google Chrome antes da versão 138.0.7204.157 permitiu que um atacante remoto potencialmente realizasse um escape de sandbox por meio de uma página HTML especialmente criada", segundo a descrição da falha na National Vulnerability Database (NVD) do NIST.
ANGLE, abreviação de "Almost Native Graphics Layer Engine", atua como uma camada de tradução entre o motor de renderização do Chrome e os drivers gráficos específicos do dispositivo.
Vulnerabilidades aqui podem permitir que atacantes escapem da sandbox do Chrome ao abusar de operações de GPU de baixo nível, que normalmente são isoladas pelos navegadores, representando assim um caminho raro, porém poderoso, para acesso mais profundo ao sistema.
Clément Lecigne e Vlad Stolyarov, do Google's Threat Analysis Group (TAG), foram creditados pela descoberta e relato da vulnerabilidade zero-day em 23 de junho de 2025.
A natureza exata dos ataques que armam a falha não foi divulgada, mas o Google reconheceu que um "exploit para
CVE-2025-6558
existe ativamente".
Dito isso, a descoberta pelo TAG alude à possibilidade de envolvimento de nações-estado.
Este desenvolvimento ocorre cerca de duas semanas depois que o Google abordou outro zero-day do Chrome sendo ativamente explorado (
CVE-2025-6554
, pontuação CVSS: 8.1), também relatado por Lecigne em 25 de junho de 2025.
O Google resolveu um total de cinco vulnerabilidades zero-day no Chrome que foram ou ativamente exploradas ou demonstradas como prova de conceito (PoC) desde o início do ano.
Isso inclui: CVE-2025-2783,
CVE-2025-4664
,
CVE-2025-5419
e
CVE-2025-6554
.
Para a maioria dos usuários, um escape de sandbox como este significa que, mesmo visitando um site malicioso, ele poderia potencialmente romper a bolha de segurança do navegador e interagir com seu sistema.
Isso é especialmente crítico em ataques direcionados onde apenas abrir uma página da web poderia desencadear um comprometimento silencioso - sem necessidade de downloads ou cliques.
Para se proteger contra ameaças potenciais, é aconselhado atualizar o navegador Chrome para as versões 138.0.7204.157/.158 para Windows e Apple macOS, e 138.0.7204.157 para Linux.
Para garantir que as últimas atualizações estejam instaladas, os usuários podem navegar até Mais > Ajuda > Sobre o Google Chrome, e selecionar Reiniciar.
Usuários de outros navegadores baseados em Chromium, como Microsoft Edge, Brave, Opera e Vivaldi, também são aconselhados a aplicar as correções assim que estiverem disponíveis.
Questões como esta frequentemente se enquadram em categorias mais amplas como escapes de sandbox de GPU, bugs relacionados a shader ou vulnerabilidades de WebGL.
Embora nem sempre captem as manchetes, elas tendem a ressurgir em exploits encadeados ou ataques direcionados.
Se você acompanha as atualizações de segurança do Chrome, vale a pena observar termos como falhas de driver gráfico, bypass de limite de privilégio e corrupção de memória em caminhos de renderização - eles frequentemente apontam para a próxima rodada de bugs que valem a pena corrigir.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...