Na última terça-feira (16 de julho de 2025), o Google lançou uma atualização crítica do Chrome para corrigir seis falhas de segurança, incluindo a CVE‑2025‑6558, já explorada em ataques reais . A falha, de severidade alta (CVSS 8.8), permite contornar o sandbox do navegador ao visitar páginas maliciosas que exploram o componente ANGLE/GPU
O principal foco da correção é a vulnerabilidade CVE‑2025‑6558, descoberta em 23 de junho de 2025 pelos pesquisadores Clément Lecigne e Vlad Stolyarov, da Threat Analysis Group (TAG) do Google. A falha possibilita que um site especialmente criado escape do ambiente restrito do navegador e execute código no sistema hospedeiro via GPU.
Essa é a segunda zero-day explorada ativamente em julho – a CVE‑2025‑6554, focada no mecanismo V8, já havia sido corrigida em 1º de julho. Desde o início de 2025, o Chrome já recebeu correções significativas para cinco zero-days explorados ou demonstrados por PoCs
O pacote de atualizações disponível inclui versões 138.0.7204.157/158 para Windows e macOS e 138.0.7204.157 para Linux. Usuários de outros navegadores baseados em Chromium também devem aguardar versões seguras
Dica de prevenção
Atualize o Chrome imediatamente: vá em Menu → Ajuda → Sobre o Google Chrome para forçar a atualização.
Implemente atualizações automáticas nos navegadores da empresa via GPO ou sistemas de gerenciamento.
Adote políticas de restrição a WebGL/ANGLE em ambientes críticos, quando possível.
Monitore logs e integrações com EDR/SIEM em busca de erros gráficos ou atividades incomuns no navegador.
Eduque usuários sobre perigo de sites desconhecidos e mantenha a segurança do sistema operacional reforçada.
A emergência dessa correção mostra o risco crescente de vulnerabilidades profundas que não exigem downloads ou cliques – basta visitar uma página maliciosa. Manter os navegadores atualizados é vital. Garanta que sua empresa adote práticas proativas de segurança e conte com a LC SEC para assessoria especializada e suporte. Conheça nossos serviços: lcsec.io