Zero-day no Google Chrome: CVE-2026-11645 já explorada, atualize agora
Falha no V8 permite execução de código por página HTML preparada e já está sendo usada em ataques reais.
Resumo rapido
O Google liberou uma atualização de segurança para o Google Chrome que corrige 74 falhas. A principal é a CVE-2026-11645, vulnerabilidade de alta gravidade no V8, mecanismo de JavaScript e WebAssembly do Google Chrome. O ponto mais crítico: o Google confirmou exploração ativa dessa falha antes mesmo de a maioria dos usuários ter aplicado a correção.
Neste artigo voce vai aprender:
- O que é a CVE-2026-11645 no Google Chrome.
- Por que uma falha no V8 pode afetar usuários comuns e empresas.
- Quais versões do Google Chrome receberam correção.
- Como atualizar o Google Chrome com segurança.
- O que equipes de TI devem verificar em ambientes corporativos.
Google confirma exploração ativa da CVE-2026-11645
O Google publicou correções para 74 vulnerabilidades no Google Chrome. Entre elas está a CVE-2026-11645, classificada como alta gravidade com pontuação CVSS 8.8. A falha reside no V8, componente do Google Chrome responsável por processar JavaScript e WebAssembly — tecnologias presentes em praticamente todas as páginas modernas da web.
A vulnerabilidade afeta versões anteriores à 149.0.7827.103 e já possui exploração confirmada em ambiente real. Não se trata de uma falha teórica: há evidência concreta de uso por atacantes antes de a correção estar amplamente instalada. O pesquisador identificado como 303f06e3 reportou o problema em 27 de abril de 2026 e recebeu recompensa de US$ 55 mil pelo programa Bug Bounty do Google.
Acesso fora dos limites no V8: o que torna isso perigoso
A CVE-2026-11645 envolve leitura e escrita fora dos limites esperados de memória dentro do V8. Em termos diretos: o Google Chrome pode ser induzido a acessar regiões de memória que não deveria durante o processamento de scripts em uma página HTML preparada por um atacante. Esse tipo de comportamento abre caminho para execução de código na área isolada do navegador.
Para o usuário, o risco prático é acessar uma página maliciosa e ter o ataque disparado sem instalar nada. O Google não divulgou detalhes técnicos dos ataques para evitar facilitar novas explorações enquanto a base de usuários ainda não aplicou a correção.
Como identificar se voce ainda esta exposto
O principal indicador de risco é usar qualquer versão do Google Chrome abaixo dos números corrigidos. Preste atenção especialmente a:
- Google Chrome no Windows e Apple macOS abaixo de 149.0.7827.102/.103.
- Google Chrome no Linux abaixo de 149.0.7827.102.
- Ambientes corporativos em que a atualização automática fica represada por política interna ou restrição de rede.
- Navegadores baseados em Chromium, como Microsoft Edge, Brave, Opera e Vivaldi, enquanto suas correções equivalentes ainda não estiverem disponíveis.
Até o momento, o Google reconheceu a exploração ativa, mas não publicou detalhes sobre alvos, países ou setores específicos afetados.
Como corrigir: passos para usuarios e equipes de TI
Abra o menu do Google Chrome, acesse Ajuda > Sobre o Google Chrome e aguarde o download da atualização disponível. Após a instalação, clique em Reiniciar — sem esse passo, a versão corrigida não entra em operação e o navegador permanece vulnerável.
Em ambientes corporativos, a prioridade deve recair sobre estações usadas para acesso a e-mail, sistemas internos, portais financeiros e ferramentas administrativas. Antes de considerar o risco encerrado, confirme também se Microsoft Edge, Brave, Opera e Vivaldi já receberam atualizações equivalentes em todos os endpoints.
Checklist pratico
- Verifique a versão do Google Chrome em todos os computadores.
- Atualize para 149.0.7827.102/.103 no Windows e Apple macOS, ou 149.0.7827.102 no Linux.
- Reinicie o Google Chrome imediatamente após a atualização.
- Audite navegadores baseados em Chromium usados na empresa: Microsoft Edge, Brave, Opera e Vivaldi.
- Oriente usuários a evitar clicar em links desconhecidos até que a atualização esteja concluída em todos os dispositivos.
Perguntas frequentes
O que e um zero-day no Google Chrome?
É uma falha que já está sendo explorada antes de a maioria dos usuários ter aplicado a correção disponível. Neste caso, o Google confirmou exploração ativa da CVE-2026-11645 em ambiente real.
A falha afeta apenas o Google Chrome?
A CVE-2026-11645 foi divulgada especificamente no Google Chrome, mas usuários de navegadores baseados em Chromium — como Microsoft Edge, Brave, Opera e Vivaldi — também devem aplicar as correções equivalentes assim que forem disponibilizadas pelos respectivos fabricantes.
Atualizar sem reiniciar resolve o problema?
Não. A atualização precisa ser instalada e o Google Chrome deve ser reiniciado para que a versão corrigida entre em uso. Enquanto o navegador não for reaberto, a versão vulnerável continua em execução.
Proteja sua empresa com a LC SEC
A LC SEC ajuda empresas a priorizar vulnerabilidades exploradas, validar exposição real e organizar respostas rápidas para estações, navegadores e ambientes corporativos críticos.
Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io
Fontes:
https://thehackernews.com/2026/06/chrome-v8-zero-day-cve-2026-11645.html
Compartilhe nas redes sociais:
