Chrome Ataca Novamente: Google Corrige Quarta Exploração Zero-Day em 2025

Google lançou uma atualização de segurança de emergência para o Chrome na segunda-feira para abordar uma vulnerabilidade zero-day explorada ativamente que estava afetando usuários do Windows e Mac em todo o mundo. Esta é a quarta vulnerabilidade zero-day do Chrome corrigida desde o início de 2025.

A vulnerabilidade zero-day, rastreada como CVE-2025-6554, foi descrita como um bug de “confusão de tipo” de alta severidade na engine V8 JavaScript e WebAssembly do Chrome.

Clement Lecigne, um pesquisador de segurança do Grupo de Análise de Ameaças (TAG) do Google, que sinalizou a vulnerabilidade zero-day em 25 de junho de 2025, foi creditado por descobri-la e relatá-la. O TAG é conhecido por descobrir ataques sofisticados ligados a atores de estados-nação.

Qual é a Vulnerabilidade?

Falhas de confusão de tipo no V8, a engine JavaScript do Chrome, ocorrem quando o navegador fica confuso sobre o tipo de dado que está manipulando. Isso pode fazer com que o Chrome interprete incorretamente a memória, abrindo a porta para leitura/escrita arbitrária e, em alguns casos, execução remota de código (RCE) total.

Esse erro pode permitir que hackers acessem partes da memória que não deveriam, o que pode permitir que eles executem código prejudicial ou travem o navegador.

“O Google está ciente de que uma exploração para CVE-2025-6554 existe na natureza”, disse o gigante da tecnologia em um aviso de segurança emitido na segunda-feira.

De acordo com o Banco Nacional de Vulnerabilidades (NVD), essa falha impacta versões do Chrome anteriores a 138.0.7204.96 e pode permitir que atacantes executem código malicioso ou façam o aplicativo travar.

Medidas de Mitigação

O Google implantou uma mitigação temporária no lado do servidor em 26 de junho de 2025, através do canal estável do Chrome, para corrigir a vulnerabilidade zero-day. A empresa lançou um patch completo para usuários do Chrome no canal Desktop Estável: Windows (138.0.7204.96/.97), Mac (138.0.7204.92/.93) e usuários do Linux (138.0.7204.96).

“O acesso aos detalhes do bug e links pode ser mantido restrito até que a maioria dos usuários seja atualizada com uma correção. Também manteremos restrições se o bug existir em uma biblioteca de terceiros da qual outros projetos dependem de forma semelhante, mas ainda não corrigiram”, disse o Google.

O Google ainda não divulgou detalhes sobre a exploração ou os atores de ameaça por trás dos ataques. Como a falha está sendo explorada ativamente na natureza, é fortemente recomendado que os usuários apliquem o patch de segurança o mais rápido possível para proteger seus dispositivos e a si mesmos de riscos de segurança significativos.

Embora a atualização automática do Chrome eventualmente instale a correção, você também pode atualizar manualmente o Chrome indo em Configurações > Ajuda > Sobre o Google Chrome.

Por que esta é a quarta?

** As vulnerabilidades zero-days anteriormente corrigidas no Chrome durante 2025 incluem CVE20252783 (março): Manipulação incorreta fornecida em circunstâncias não especificadas no Mojo no Windows; CVE20254664 (maio): Aplicação de política insuficiente no Loader; e CVE20255419 (junho): Leitura e escrita fora dos limites no V8.

Com a CVE20256554 agora corrigida, isso marca a quarta exploração zero-day ativa abordada em apenas sete meses.