(atualizado) O Google corrige dois dias zero do Chrome sob ataque ativo

Atualização em 16 de março de 2026
No início desta semana, o Google informou incorretamente que uma vulnerabilidade explorada ativamente no Chrome foi corrigida e agora anunciou que lançará uma nova atualização para proteger os usuários contra a vulnerabilidade rastreada como CVE-2026-3909.

Conteúdo original:

O Google lançou uma atualização de segurança fora de banda para o desktop Chrome que corrige duas vulnerabilidades de dia zero de alta gravidade.

Ambos os bugs podem ser explorados remotamente e exigem apenas que o usuário visite um site malicioso. Como a complexidade do ataque é baixa, as vulnerabilidades representam um risco maior no mundo real.

Como atualizar o Chrome

Os números da versão mais recente são 146.0.7680.75/76 para Windows e macOS e 146.0.7680.75 para Linux. Se o seu navegador Chrome estiver na versão 146.0.7680.75 ou posterior, você está protegido contra essas vulnerabilidades.

A maneira mais fácil de se manter atualizado é permitir que o Chrome seja atualizado automaticamente. No entanto, as atualizações podem atrasar se você raramente fechar o navegador ou se algo interferir no processo de atualização.

Para atualizar manualmente:

1. Clique no Mais menu (três pontos)
2. Vá para Configurações > Sobre o Chrome.
3. Se uma atualização estiver disponível, o Chrome começará a baixá-la.
4. Reinicie o Chrome para concluir a atualização e você estará protegido contra essas vulnerabilidades.

Você também pode encontrar instruções passo a passo em nosso guia sobre como atualizar o Chrome em todos os sistemas operacionais, que inclui instruções para verificar o número da sua versão.

Detalhes técnicos

O Google relata que descobriu e corrigiu ambos os bugs internamente, com patches chegando cerca de dois dias após o relatório.

CVE‑2026‑3909 é uma vulnerabilidade de gravação fora dos limites no Skia, a biblioteca de gráficos 2D do Chrome usada para renderizar conteúdo da web e elementos de interface do usuário. Um invasor remoto pode atrair um usuário para uma página da Web maliciosa que aciona o bug, corrompe a memória e potencialmente executa o código no contexto do navegador. Skia é uma biblioteca gráfica 2D de código aberto usada não apenas no Google Chrome, mas também em muitos outros produtos.

CVE‑2026‑3910 é uma falha de implementação inadequada no mecanismo V8 JavaScript e WebAssembly. Uma página HTML especialmente criada poderia permitir que um invasor remoto executasse código arbitrário dentro da sandbox V8. V8 é o mecanismo que o Google desenvolveu para processar JavaScript e já viu mais do que seu quinhão de bugs.

Os componentes Skia e V8 do Chrome são alvos principais porque ficam diretamente no caminho entre o conteúdo da web não confiável e o sistema subjacente.

É possível encadear uma gravação fora dos limites no Skia com outros bugs para sair da sandbox do renderizador, enquanto falhas de implementação do V8 aparecem frequentemente em cadeias de exploração usadas por agentes de ameaças e fornecedores de spyware direcionados.

Como se manter seguro

Para proteger seu dispositivo, atualize o Chrome o mais rápido possível. Aqui estão mais algumas dicas para evitar se tornar uma vítima, mesmo antes de um dia zero ser corrigido:

• Não clique em links não solicitados em e-mails, mensagens, sites desconhecidos ou redes sociais.
• Ative as atualizações automáticas e reinicie regularmente. Muitos usuários deixam os navegadores abertos por dias, o que atrasa a proteção mesmo que a atualização seja baixada em segundo plano.
• Use uma solução antimalware atualizada e em tempo real que inclua um componente de proteção da web.

Os usuários de outros navegadores baseados em Chromium podem esperar uma atualização semelhante em breve.

Não apenas informamos ameaças: nós as removemos

Os riscos de cibersegurança nunca devem ultrapassar as manchetes. Mantenha as ameaças longe dos seus dispositivos baixando o Malwarebytes hoje mesmo.