O Google lançou atualizações emergenciais para corrigir uma vulnerabilidade zero-day no navegador Chrome, a sexta deste tipo assinada como explorada em ataques desde o início do ano.
Embora a empresa não tenha confirmado se essa falha ainda está sendo ativamente explorada, alertou que já existe um exploit público disponível, um indicativo comum de exploração em andamento.
“Google está ciente de que um exploit para a CVE-2025-10585 existe”, informou a companhia em um comunicado técnico publicado na quarta-feira.
Essa vulnerabilidade crítica zero-day decorre de um problema de type confusion no motor V8 do JavaScript do navegador, identificado pela Threat Analysis Group (TAG) do Google na terça-feira.
O Google TAG costuma detectar zero-days explorados por grupos patrocinados por governos em campanhas de spyware direcionadas a indivíduos de alto risco, como políticos da oposição, dissidentes e jornalistas.
A correção foi liberada um dia após a descoberta, nas versões 140.0.7339.185/.186 para Windows e Mac, e 140.0.7339.185 para Linux.
Essas atualizações serão distribuídas gradualmente pelo canal Stable Desktop nas próximas semanas.
Apesar do Chrome atualizar automaticamente sempre que um patch de segurança é publicado, o usuário pode acelerar o processo acessando o menu do Chrome > Ajuda > Sobre o Google Chrome, aguardando o término do download e clicando no botão “Reiniciar” para aplicar a atualização de imediato.
Embora o Google já tenha confirmado o uso da CVE-2025-10585 em ataques reais, ainda não divulgou detalhes adicionais sobre sua exploração no ambiente externo.
“O acesso a informações sobre o bug e links pode permanecer restrito até que a maioria dos usuários tenha recebido a correção”, explicou o Google.
“Também manteremos essas restrições se a falha existir em bibliotecas de terceiros usadas por outros projetos que ainda não corrigiram o problema.”
Este é o sexto zero-day explorado no Chrome corrigido pelo Google em 2025.
Além deste, cinco outras vulnerabilidades foram reparadas em março, maio, junho e julho.
Em março, o Google resolveu uma falha crítica de sandbox escape (CVE-2025-2783), reportada pela Kaspersky, usada em ataques de espionagem contra órgãos governamentais e veículos de mídia russos.
Em maio, outras atualizações emergenciais corrigiram um zero-day (
CVE-2025-4664
) que permitia o sequestro de contas, e em junho foi corrigida uma falha de leitura e escrita fora dos limites no motor V8 (
CVE-2025-5419
), descoberta pelo Google TAG.
Em julho, outra zero-day ativa (
CVE-2025-6558
), também relatada pelo TAG, foi corrigida, impedindo que atacantes escapassem da proteção da sandbox do navegador.
No ano passado, o Google já havia corrigido 10 vulnerabilidades zero-day, muitas delas demonstradas em competições de hacking como o Pwn2Own ou usadas em ataques reais.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...