Chrome zero-day ativo e 14 mil F5 BIG-IP expostos: a semana de emergência em cibersegurança

O Google corrigiu na última quinta-feira (31 de março) uma vulnerabilidade zero-day no Chrome que já está sendo ativamente explorada por atacantes. É a quarta falha desse tipo corrigida só em 2026 — e, no mesmo dia, a F5 alertava sobre mais de 14 mil instâncias do BIG-IP APM expostas à internet com uma falha crítica de execução remota de código. Se você administra redes ou usa Chrome corporativamente, esta semana exige ação imediata.

O que é a CVE-2026-5281 e por que importa

A CVE-2026-5281 é uma falha do tipo use-after-free no componente Dawn, a implementação open-source do padrão WebGPU usada pelo Chromium. Em termos práticos: um atacante remoto que já comprometeu o processo de renderização do navegador consegue executar código arbitrário por meio de uma página HTML especialmente criada.

O pesquisador que reportou a falha atua sob pseudônimo (86ac1f1587b71893ed2ad792cd7dde32) e já havia reportado outras duas vulnerabilidades corrigidas na atualização de 23 de março — uma heap buffer overflow no WebGL (CVE-2026-4675) e outra falha use-after-free também no Dawn (CVE-2026-4676). Há um padrão claro de ataques concentrados no subsistema gráfico do navegador.

Versões afetadas e correção

A falha afeta todas as versões do Chrome anteriores à 146.0.7680.177/178 no Windows e macOS, e anteriores à 146.0.7680.177 no Linux. A correção veio no pacote de 21 vulnerabilidades corrigidas nesta atualização.

Quem usa atualização automática só precisa reiniciar o navegador. Quem gerencia Chrome manualmente em frota precisa forçar a atualização agora — especialmente porque os detalhes técnicos da exploração estão sob embargo temporário, o que geralmente significa que patches exploram uma janela estreita antes que o conhecimento se propague.

Os quatro zero-days do Chrome em 2026

A CVE-2026-5281 é a quarta falha ativamente explorada corrigida pelo Google neste ano:

• Fevereiro/2026 — CVE-2026-2441: Use-after-free no CSS. Primeiro zero-day do ano.
• Março/2026 — CVE-2026-3909 (CVSS 8.8): Out-of-bounds write na biblioteca Skia de renderização 2D.
• Março/2026 — CVE-2026-3910 (CVSS 8.8): Falha na engine V8 JavaScript/WebAssembly.
• Março/2026 — CVE-2026-5281: Use-after-free no Dawn/WebGPU.

Duas observações saltam aos olhos: o ritmo (quatro zero-days em três meses) e o foco crescente em componentes gráficos (Dawn, Skia, WebGL). O WebGPU é relativamente novo no Chrome e ainda está amadurecendo — o que cria superfície de ataque interessante para quem explora falhas de memória.

Ameaça paralela: F5 BIG-IP APM com 14 mil instâncias expostas

Quase ao mesmo tempo, a Shadowserver Foundation identificou mais de 14 mil instâncias do F5 BIG-IP APM expostas na internet, enquanto ataques exploram uma vulnerabilidade crítica de execução remota de código. A F5 atualizou seu advisory (K000156741) reclassificando a falha com CVSS 9.8 (v3.1) e 9.3 (v4.0).

O NHS England emitiu alerta cyber classificando como crítica, recomendando que organizações afetadas façam upgrade imediato do BIG-IP APM para versão corrigida. Esse tipo de equipamento — que geralmente fica na borda da rede como gateway VPN e balanceador — é um alvo de alto valor porque um comprometimento abre acesso direto à infraestrutura interna.

Por que o WebGPU virou vetor de ataque

O WebGPU é a API de gráficos de próxima geração que substitui o WebGL, oferecendo acesso mais direto à GPU. Isso traz performance, mas também complexidade. O componente Dawn lida com operações de baixo nível na memória da placa de vídeo — exatamente o tipo de superfície onde bugs de uso após liberação prosperam.

Para atacantes, o cálculo é simples: gráficos são processados automaticamente ao carregar páginas. Não requer interação além de visitar um link. Em ambientes corporativos onde usuários clicam em links de e-mail e mensagens o dia inteiro, basta uma página contaminada.

O que o ataque na prática permite

Segundo a descrição oficial, um atacante que já tenha comprometido o renderer consegue escapar do sandbox e executar código no sistema operacional. O fluxo típico seria:

1. Vítima acessa página maliciosa (phishing, anúncio comprometido, site legítimo hackeado).
2. O código explora a falha no Dawn/WebGPU para corromper memória.
3. Atacante escapa do sandbox do Chrome.
4. Executa payload no sistema — que pode ser um infostealer, ransomware ou acesso persistente.

O uso da falha em conjunto com outras vulnerabilidades (chain de exploits) é o cenário mais preocupante para empresas.

Checklist: o que fazer agora

• Atualizar Chrome imediatamente para 146.0.7680.177+ em todas as plataformas (Windows, macOS, Linux).
• Verificar Edge, Brave, Vivaldi e outros browsers baseados em Chromium — o Vivaldi já patcheou; Edge e outros devem seguir.
• Forçar reinício do navegador em ambientes gerenciados (Chrome Browser Cloud Management ou GPO).
• Auditar instâncias F5 BIG-IP APM — checar se estão em versão corrigida e se precisam estar expostas à internet.
• Revisar segmentação de rede — BIG-IPs não devem ficar em VLANs com acesso irrestrito ao core.
• Monitorar logs de acesso em busca de padrões de exploração conhecidos para ambas as falhas.
• Reforçar conscientização sobre phishing — a porta de entrada continua sendo o clique do usuário.

Perguntas frequentes

Preciso desinstalar o Chrome?
Não. Basta atualizar para a versão 146.0.7680.177 ou superior e reiniciar.

O Edge também é afetado?
Sim, porque usa o mesmo motor Chromium. A Microsoft está preparando a correção.

Se eu uso Chrome no celular, preciso me preocupar?
A falha foi reportada para Chrome desktop. No Android, o Chrome usa um sandbox diferente, mas é bom manter atualizado.

Como sei se fui afetado?
Não há indicação visual. Se você usou uma versão antiga e notou comportamento estranho, vale rodar um scan com antimalware e verificar processos suspeitos.

O que é use-after-free?
É quando o programa continua acessando um endereço de memória que já foi liberado. Isso permite que um atacante redirecione a execução para código malicioso.

Conclusão

Quatro zero-days em três meses, concentrados em gráficos e rendering, com exploração ativa. Isso não é coincidência — é um sinal claro de que atacantes estão investindo em vetores baseados em navegador com foco no subsistema WebGPU, que ainda está ganhando maturidade. Do lado da infraestrutura, 14 mil F5 BIG-IP expostos com RCE crítica completam um cenário em que tanto o endpoint quanto o perímetro estão sob pressão simultânea. A recomendação é simples e direta: patchear tudo, agora.

Referências

• Google Chrome Release Blog — Stable Channel Update (31/mar/2026): chromereleases.googleblog.com
• Help Net Security — Google fixes Chrome zero-day with in-the-wild exploit (CVE-2026-5281): helpnetsecurity.com
• SecurityAffairs — Google fixes fourth actively exploited Chrome zero-day of 2026: securityaffairs.co
• TechRepublic — Patch Now: Chrome Flaw Under Active Attack: techrepublic.com
• Shadowserver Foundation — F5 BIG-IP APM exposure data (abr/2026)
• NHS England Digital — Critical RCE Vulnerability in F5 BIG-IP Under Exploitation (CC-4763): digital.nhs.uk
• F5 Security Advisory K000156741: my.f5.com