A atualização mais recente do Chrome, versão 138, corrige uma falha de segurança crítica identificada como CVE-2025-6554, que está relacionada a um problema de confusão de tipo no mecanismo de JavaScript e WebAssembly V8, de código aberto. Esse tipo de falha pode ser explorado por invasores para causar comportamentos inesperados no software, resultando em falhas, execução remota de código e outros tipos de ataques.

De acordo com um comunicado do NIST, a exploração bem-sucedida dessa vulnerabilidade pode permitir que atacantes remotos realizem operações arbitrárias de leitura e escrita utilizando páginas HTML manipuladas. O Google confirmou a existência de uma exploração ativa dessa falha, indicando que ela já está sendo usada por cibercriminosos.

A vulnerabilidade foi reportada no dia 25 de junho de 2025, e uma mitigação foi implementada rapidamente, com uma alteração de configuração enviada no dia seguinte, 26 de junho. Essa correção foi aplicada no canal estável do Chrome para todas as plataformas.

Embora o Google não tenha fornecido detalhes completos sobre a CVE ou sobre a exploração observada, a urgência nas correções e a maneira como a falha foi tratada indicam que o problema já estava sendo explorado ativamente. A empresa agradeceu a Clement Lecigne, do Google Threat Analysis Group (TAG), por reportar a vulnerabilidade. O grupo de pesquisa TAG tem sido responsável por descobrir várias falhas exploradas por fornecedores de spyware comercial, incluindo defeitos de segurança no próprio navegador Chrome.

A atualização está sendo distribuída agora nas versões 138.0.7204.96/.97 para Windows, 138.0.7204.92/.93 para macOS e 138.0.7204.96 para Linux. É altamente recomendada que os usuários atualizem seus navegadores o quanto antes para garantir a proteção contra a exploração dessa falha.

Esta é a quarta vulnerabilidade no Chrome documentada este ano que o Google reconhece como tendo uma exploração ativa, após as CVEs 2025-2783, 2025-4664 e 2025-5419.

Para saber mais, clique aqui.