Google corrige falha gravíssima que comprometia todos os usuários do Chrome

O Google disponibilizou uma atualização de segurança crítica para o Chrome nesta terça-feira (15) para corrigir seis vulnerabilidades, incluindo uma falha gravíssima que estava sendo ativamente explorada por cibercriminosos para escapar da proteção sandbox do navegador. A vulnerabilidade, identificada como CVE-2025-6558, recebeu classificação de alta severidade com pontuação 8,8 no sistema CVSS e afeta todas as versões do Chrome anteriores à 138.0.7204.157.

• Atualize já! Chrome vai parar de funcionar em alguns Macs antigos
• Hackers usam anúncios online para atacar sites WordPress

A descoberta foi feita por pesquisadores do Threat Analysis Group (TAG) do próprio Google em 23 de junho, o que indica a natureza sofisticada e potencialmente direcionada dos ataques. O fato de a falha ter sido identificada pela equipe especializada em análise de ameaças da companhia sugere um possível envolvimento de atores estatais ou grupos avançados de hackers em sua exploração.

A situação é tão grave que o Google decidiu manter os detalhes técnicos da vulnerabilidade em sigilo absoluto. “O acesso aos detalhes e links dos bugs pode permanecer restrito até que a maioria dos usuários atualize o navegador com a correção”, afirmou a empresa em seu boletim de segurança. Essa estratégia visa impedir que outros criminosos desenvolvam exploits baseados nas informações técnicas antes que os usuários tenham tempo suficiente para aplicar o patch corretivo.

–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–

Como é a falha crítica do Chrome

A CVE-2025-6558 é descrita como uma “validação inadequada de entrada não confiável” nos componentes ANGLE e GPU do Chrome. O ANGLE, sigla para “Almost Native Graphics Layer Engine”, é uma camada de abstração gráfica de código aberto que traduz chamadas da API OpenGL ES para Direct3D, Metal, Vulkan e OpenGL, funcionando como uma ponte entre o navegador e drivers específicos da placa de vídeo do dispositivo.

Devido ao fato de o ANGLE processar comandos de GPU provenientes de fontes não confiáveis, como sites que utilizam WebGL, bugs nesse componente podem ter um impacto crítico na segurança. A falha permite que um atacante remoto execute código arbitrário dentro do processo GPU do navegador usando uma página HTML maliciosa, criando um caminho direto para comprometer o sistema além dos limites de segurança do navegador.

A grande questão desta vulnerabilidade em específico é que ela permite um “sandbox escape” — um tipo de ataque que quebra as barreiras fundamentais de segurança do navegador. Para a maioria dos usuários, isso significa que simplesmente visitar um site malicioso pode ser suficiente para romper a proteção do navegador e interagir com todo o sistema operacional.

Qual é a importância do sandbox do Chrome?

O sistema sandbox do Chrome é um mecanismo de segurança que isola os processos do navegador do restante do sistema operacional, impedindo que malwares se espalhem para fora do navegador e comprometa o dispositivo. Funciona como uma “caixa de areia” virtual que restringe as ações do navegador, mesmo quando um site malicioso tenta executar código perigoso.

Quando um usuário visita um site, o Chrome executa o conteúdo da página dentro dessa área isolada, garantindo que qualquer tentativa de acesso a arquivos do sistema, instalação de software ou modificação de configurações seja bloqueada automaticamente. Essa proteção é tão eficaz que, mesmo se um site conseguir explorar uma vulnerabilidade do navegador, os danos ficam limitados a ele.

Um sandbox escape, como o possibilitado pela CVE-2025-6558, quebra essa barreira e permite que atacantes acessem recursos do sistema que normalmente estariam fora de alcance. É como se criminosos conseguissem quebrar as paredes de uma prisão de segurança máxima – uma vez do lado de fora, têm acesso praticamente irrestrito ao sistema.

Riscos para usuários e empresas

A exploração bem-sucedida dessa vulnerabilidade pode resultar em roubo de informações pessoais, senhas salvas, documentos confidenciais e render até mesmo controle remoto do computador. O mais preocupante é que tudo isso pode acontecer sem que o usuário perceba, simplesmente visitando um site comprometido.

No ambiente corporativo, os riscos são ainda maiores. Empresas que dependem de navegadores web para operações críticas ficam vulneráveis a ataques de espionagem industrial, roubo de dados corporativos e infiltração em redes internas. A capacidade de escapar do sandbox significa que indivíduos mal-intencionados podem acessar servidores internos, bancos de dados confidenciais e sistemas de missão crítica.

Clément Lecigne e Vlad Stolyarov, pesquisadores do Google TAG que descobriram a falha, já haviam identificado outras vulnerabilidades críticas no Chrome ao longo deste ano, incluindo a CVE-2025-6554, corrigida apenas duas semanas antes. Esta é a quinta vulnerabilidade zero-day que o Google corrigiu no Chrome desde o início de 2025, destacando a intensidade dos ataques direcionados ao navegador mais popular do mundo.

Corrida contra o tempo

O Google confirma que “um exploit para CVE-2025-6558 existe em estado selvagem”, o que significa que criminosos já estão usando ativamente essa vulnerabilidade para atacar usuários reais. A revelação transforma a atualização de um procedimento de rotina em uma questão de segurança urgente.

Como dito, a empresa não divulgou detalhes sobre a natureza exata dos ataques ou quantos usuários podem ter sido afetados, mas a descoberta sugere que se trata de operações sofisticadas, possivelmente conduzidas por grupos patrocinados por estados ou organizações criminosas avançadas.

Para se proteger, usuários devem atualizar imediatamente seus navegadores para as versões 138.0.7204.157/.158 (Windows e macOS) ou 138.0.7204.157 (Linux). A atualização pode ser feita navegando até chrome://settings/help e permitindo que a verificação de atualização seja concluída. É importante reiniciar o navegador após a instalação para garantir que todas as correções sejam aplicadas.

Problema além do Chrome

A vulnerabilidade também afeta outros navegadores baseados em Chromium, incluindo Microsoft Edge, Brave, Opera e Vivaldi. Usuários desses navegadores devem aguardar e aplicar as correções assim que elas forem disponibilizadas, pois compartilham a mesma base de código do Chrome.

O incidente reforça a importância de manter navegadores atualizados e implementar camadas adicionais de segurança. Para empresas, isso inclui políticas de atualização automática, monitoramento de segurança em tempo real e treinamento regular de funcionários sobre ameaças cibernéticas.

Leia mais no Canaltech:

• Nova técnica da Akamai acaba com campanhas de mineração em poucos segundos
• Alerta: plugin superpopular do WordPress infectou milhares de sites com backdoor
• Android e Chrome OS vão virar uma coisa só, confirma executivo do Google

Leia a matéria no Canaltech.