O Chrome 151 corrige 382 vulnerabilidades de segurança — o maior número de falhas reparadas em uma única versão do navegador. Dessas, 15 são críticas e permitem execução remota de código, escape do sandbox e comprometimento total do sistema. A atualização cobre Windows, macOS, Linux e Android, e afeta o Brasil diretamente, onde o Chrome detém mais de 70% do mercado. O Google descobriu 358 das falhas internamente; a maioria é do tipo use-after-free e atinge componentes como GPU, Bluetooth, WebUSB e Chromoting.

382 falhas corrigidas em uma versão

A atualização cobre Windows, macOS, Linux e Android. Versões baseadas em Chromium — Edge, Opera, Brave e Vivaldi — receberão correções equivalentes nos próximos dias. Segundo a análise do GBHackers, o volume atípico de 382 vulnerabilidades acumula descobertas internas e do programa de bug bounty ao longo de vários ciclos de release. O release anterior havia corrigido apenas 18 falhas — um salto de mais de 20 vezes em um único ciclo.

15 falhas críticas mapeadas

As vulnerabilidades críticas concentram-se em bugs do tipo use-after-free, um dos principais vetores de exploração em código C/C++ que permite a um atacante manipular memória liberada pelo sistema. Os componentes afetados cobrem praticamente toda a superfície de ataque do navegador:

CVE Componente Tipo de falha
CVE-2026-13774 Extensions Use after free
CVE-2026-13775 GPU Use after free
CVE-2026-13776 Dawn Type confusion
CVE-2026-13777 iOSWeb Validação insuficiente
CVE-2026-13778 WebUSB Use after free
CVE-2026-13779 Chromoting Use after free
CVE-2026-13780 ANGLE Validação insuficiente
CVE-2026-13781 Skia Validação insuficiente
CVE-2026-13782 Browser Use after free
CVE-2026-13783 Views Use after free
CVE-2026-13784 Views Use after free
CVE-2026-13785 Bluetooth Use after free
CVE-2026-13786 Ozone Use after free
CVE-2026-13787 Chromoting Use after free
CVE-2026-13788 Fullscreen Use after free

Dessas, os componentes Dawn (motor WebGPU), Skia (motor gráfico 2D) e ANGLE (camada de tradução OpenGL) são responsabilidades do renderizador. Corrupções nesses módulos podem ser acionadas por conteúdo web malicioso — uma página especialmente construída ou um anúncio infectado é suficiente.

Chromoting e Bluetooth: risco extra

Duas falhas merecem destaque pelo contexto de exploração. O Chromoting — o recurso de acesso remoto integrado ao Chrome — recebeu duas correções críticas (CVE-2026-13779 e CVE-2026-13787). Em ambientes corporativos, bugs de corrupção de memória nesse componente permitem sequestro de sessão remota, movimento lateral entre máquinas e exfiltração de dados sem qualquer indicador visual para o usuário. O atacante pode assumir o controle de uma sessão de desktop remoto sem interação adicional.

A falha no Bluetooth (CVE-2026-13785) amplia a ameaça para fora do tráfego web. Um atacante próximo pode explorar a pilha wireless do navegador para comprometer o sistema sem que a vítima acesse qualquer site. A distância de ataque típica fica entre 10 e 50 metros, dependendo do hardware.

Uma semana sem precedentes

O Chrome 151 não chegou isolado. Na mesma janela de 48 horas, a CISA confirmou que a falha BlueHammer no Microsoft Defender está sendo explorada em campanhas de ransomware, enquanto um segundo zero-day no Defender — apelidado RoguePlanet — foi divulgado com patch ainda em desenvolvimento. Duas vulnerabilidades críticas no antivírus padrão do Windows em menos de dois dias: isso é inédito.

Paralelamente, a Adobe corrigiu 11 falhas críticas no ColdFusion, sendo 6 com CVSS 10.0 — pontuação máxima — que permitem execução de código sem autenticação. O ColdFusion tem um histórico sombrio de exploração: 16 CVEs no catálogo KEV da CISA com exploração confirmada. A recomendação da Adobe é aplicar patches em até 72 horas.

Esse volume simultâneo de patches críticos em produtos amplamente adotados cria uma tempestade perfeita para equipes de segurança. Cada release exige validação, implantação e verificação — e o atraso em qualquer um deles abre janela para exploração.

O risco para o usuário brasileiro

O Brasil é o terceiro maior mercado do Chrome no mundo por volume de usuários. Com mais de 140 milhões de pessoas acessando internet via smartphones e desktops predominantemente com o navegador do Google, praticamente toda atividade financeira, profissional e social passa por ele. Falhas de corrompimento de memória no renderer são ativáveis por conteúdo web comum — uma página preparada, um link em phishing ou até um anúncio malicioso em site legítimo.

A história recente do Chrome em 2026 já mostrou que atacantes começam a explorar zero-days em questão de dias. Com 15 vulnerabilidades críticas divulgadas simultaneamente — afetando GPU, Bluetooth, acesso remoto e extensões — o risco de que pelo menos uma seja encadeada em um exploit funcional é alto.

Para ambientes corporativos, o ponto de maior tensão é o Chromoting. Empresas que dependem de acesso remoto via Chrome para suporte ou administração precisam priorizar essa atualização. Um atacante que comprometa uma sessão Chromoting ganha acesso direto ao desktop da vítima, contornandoFirewalls e controles de rede.

O que fazer agora

A atualização está em distribuição gradual. Para garantir proteção imediata:

  1. Abrir Configurações → Sobre o Google Chrome no desktop ou no menu do Android
  2. O navegador detecta automaticamente a versão 151 (150.0.7871.46/.47 em desktop, 150.0.7871.63 no Android)
  3. Reinicie o navegador quando solicitado

Empresas que gerenciam Chrome via Group Policy devem verificar se a política de atualização automática está ativa e propagada para todos os endpoints. Navegadores baseados em Chromium — Edge, Brave, Opera — seguirão com patches equivalentes, mas com possível atraso de dias.

Medidas complementares enquanto aguarda a atualização: evite instalar extensões de fontes desconhecidas, desative WebUSB em chrome://flags se não utiliza o recurso, e revise as permissões de extensões já instaladas. Em ambientes enterprise, audite políticas de confiança de extensões e exposição de acesso a periféricos USB via navegador.

Referências