O Google lançou nesta terça-feira (22) uma atualização emergencial para o navegador Chrome, corrigindo seis falhas de segurança, incluindo uma vulnerabilidade zero-day de alta gravidade que está sendo explorada ativamente.
A falha, identificada como CVE-2025-6558 (CVSS 8.8), envolve uma validação incorreta de entradas não confiáveis nos componentes ANGLE e GPU do navegador. Segundo o NIST, essa brecha permite que invasores escapem do sandbox do Chrome apenas ao carregar uma página HTML maliciosa, abrindo espaço para acesso profundo ao sistema operacional.
O ANGLE (Almost Native Graphics Layer Engine) é a camada que traduz comandos gráficos do Chrome para os drivers do dispositivo. Explorar falhas nesse módulo dá aos hackers a chance de executar operações avançadas de GPU fora do isolamento do navegador, o que é especialmente perigoso em ataques direcionados.
A vulnerabilidade foi relatada em 23 de junho de 2025 por Clément Lecigne e Vlad Stolyarov, do Google Threat Analysis Group (TAG) — equipe conhecida por investigar ataques apoiados por Estados. Embora os detalhes sobre os ataques ainda não tenham sido divulgados, o Google confirmou que um exploit funcional está circulando.
Essa atualização vem pouco depois da correção da CVE-2025-6554, outra falha zero-day explorada ativamente. Com isso, cinco vulnerabilidades zero-day já foram corrigidas no Chrome somente em 2025.
O que fazer agora:
- Atualize o Chrome para a versão 138.0.7204.157/.158 no Windows e macOS, ou 138.0.7204.157 no Linux.
- Em Mais > Ajuda > Sobre o Google Chrome, você pode verificar e aplicar a atualização automaticamente.
- Usuários de navegadores baseados no Chromium (Edge, Brave, Opera, Vivaldi) também devem aplicar as correções assim que disponíveis.
Conclusão:
Falhas como essa mostram a importância de manter o navegador sempre atualizado, já que ataques sofisticados podem comprometer sistemas apenas com a visita a um site malicioso.
