O Google corrigiu na segunda-feira (9) uma vulnerabilidade zero-day no motor V8 do Chrome explorada ativamente por invasores. A falha CVE-2026-11645 (CVSS 8,8) permite execução arbitrária de código via páginas HTML maliciosas. É o quinto zero-day do navegador explorado em ataques reais em 2026, e a correção já está disponível para Windows, macOS e Linux.
Como a falha funciona
A vulnerabilidade é uma falha de leitura e escrita fora dos limites (out-of-bounds) no V8, o motor que interpreta JavaScript e WebAssembly no Chrome. Quando o motor processa código JavaScript em uma página especialmente criada, ele não valida corretamente os limites de memória, permitindo que o atacante leia e escreva dados em posições arbitrárias. Isso permite a execução de código dentro do sandbox do navegador, contornando proteções de memória. O pesquisador “303f06e3” reportou a falha em 27 de abril de 2026 e recebeu US$ 55 mil pelo bug bounty do Google.
Exploração confirmada no wild
O Google reconheceu que um exploit para a CVE-2026-11645 circula ativamente, mas seguiu sua política de omitir detalhes técnicos até que a maioria dos usuários esteja protegida. Com esta correção, o Google totaliza cinco zero-days do Chrome com exploração ativa em 2026: CVE-2026-2441, CVE-2026-3909, CVE-2026-3910, CVE-2026-5281 e agora CVE-2026-11645. O padrão sugere que atacantes continuam investindo em falhas de memória do V8 como vetor de entrada para campanhas de phishing e watering-hole, assim como nas falhas de execução remota no Edge identificadas neste ano.
Por que o V8 é alvo
O motor V8 é o componente mais atacado do Chrome por uma razão estrutural: ele precisa processar JavaScript arbitrário de qualquer site visitado pelo usuário, o que expande enormemente a superfície de ataque. Falhas de memória no V8 permitem que atacantes escapem do sandbox do navegador e executem código no sistema operacional do usuário. A complexidade do motor — que inclui um compilador JIT (Just-In-Time), coletor de lixo e interpretador — cria oportunidades para bugs sutis de validação de limites, como os explorados nesta e nas quatro zero-days anteriores de 2026. Navegadores como Edge, Brave, Opera e Vivaldi que usam o mesmo motor também são afetados.
Versões e impacto
A correção foi lançada nas versões 149.0.7827.102 e 149.0.7827.103 para Windows e macOS, e 149.0.7827.102 para Linux. Navegadores baseados em Chromium também devem receber correções em breve. A corrige anterior do Chrome já havia sinalizado a tendência de ataques ao V8 este ano. A falha também foi adicionada ao catálogo KEV da CISA no mesmo dia.
| Versão afetada | Versão corrigida | Plataforma |
|---|---|---|
| Chrome < 149.0.7827.102 | 149.0.7827.102/.103 | Windows, macOS |
| Chrome < 149.0.7827.102 | 149.0.7827.102 | Linux |
| Edge, Brave, Opera, Vivaldi | Pendente por fabricante | Todas |