O Google anunciou nesta terça-feira (15) uma nova atualização de segurança para o navegador Chrome, corrigindo seis vulnerabilidades — incluindo uma falha crítica que já estava sendo explorada ativamente por cibercriminosos.
Vulnerabilidade Zero-Day Afeta Componentes Gráficos do Navegador
A falha mais grave, identificada como CVE-2025-6558, está relacionada à validação incorreta de entradas não confiáveis nos componentes ANGLE e GPU do Chrome. O ANGLE (Almost Native Graphics Layer Engine) é um mecanismo gráfico de código aberto e multiplataforma, utilizado como backend padrão do WebGL tanto no Chrome quanto no Firefox para Windows.
Esses componentes são essenciais para o carregamento de gráficos e vídeos em páginas da web. Um alerta publicado pelo NIST (Instituto Nacional de Padrões e Tecnologia dos EUA) destacou que a exploração bem-sucedida da falha pode permitir que atacantes remotos escapem da sandbox do navegador por meio de páginas HTML manipuladas.
“O Google tem conhecimento de que há exploração ativa da CVE-2025-6558 na internet”, informou a empresa em seu comunicado oficial.
Quinta Zero-Day do Ano Corrigida
Esta é a quinta vulnerabilidade zero-day corrigida pelo Google no Chrome apenas em 2025, demonstrando um cenário de ameaças persistente e em constante evolução.
Como de costume, a gigante da tecnologia optou por não divulgar detalhes técnicos sobre os ataques em andamento, preservando a segurança dos usuários enquanto o patch é distribuído globalmente.
A descoberta da falha foi feita por Clément Lecigne e Vlad Stolyarov, membros do Threat Analysis Group (TAG) do Google — uma equipe conhecida por identificar vulnerabilidades exploradas por fornecedores de spyware comercial, inclusive no próprio Chrome. Há indícios de que esse também seja o caso da nova CVE.
Outras Correções Importantes
Além da zero-day, a nova atualização do Chrome também resolve outras duas falhas reportadas por pesquisadores externos:
- CVE-2025-7656 – Um problema de estouro de inteiro no motor JavaScript V8.
- CVE-2025-7657 – Uma falha do tipo use-after-free no componente WebRTC.
O Google pagou uma recompensa de US$ 7.000 ao pesquisador responsável pela descoberta do defeito no V8. O valor pago pela falha no WebRTC ainda não foi divulgado. Como a CVE-2025-6558 foi descoberta internamente, ela não se qualifica para o programa de recompensas da empresa.
Versões e Recomendação
A nova versão do Chrome está sendo distribuída como:
- Versões 138.0.7204.157 e .158 para Windows e macOS
- Versão 138.0.7204.157 para Linux
Usuários são fortemente aconselhados a atualizar seus navegadores o mais rápido possível para garantir proteção contra essas e outras possíveis ameaças.
Para atualizar, vá em Menu > Ajuda > Sobre o Google Chrome. O navegador fará a atualização automaticamente.
Para saber mais, clique aqui.