Google confirmou em 9 de Junho de 2026 que o quinto zero-day do Chrome no ano está a ser explorado em ataques reais. A falha CVE-2026-11645 (CVSS 8.8) afecta o motor V8 JavaScript e permite execução remota de código através de uma página HTML manipulada. A correcção foi lançada nas versões 149.0.7827.102 e .103 para Windows, macOS e Linux, mas a actualização automática pode demorar semanas a chegar a todos os utilizadores, deixando uma janela de exposição crítica.
Quinto zero-day do ano
A vulnerabilidade classificada como out-of-bounds memory access no motor V8 permite que um atacante remoto execute código arbitrário dentro da sandbox do navegador. Segundo o registo no NIST National Vulnerability Database, a leitura e escrita fora dos limites de memória ocorrem em versões anteriores a 149.0.7827.103.
Google manteve os detalhes técnicos restritos enquanto a actualização propaga globalmente. A política da empresa é reter informações sobre a exploração activa até que a maioria dos utilizadores esteja protegida. O pesquisador identificado apenas como “303f06e3” reportou a falha em 27 de Abril de 2026 e recebeu uma recompensa de 55.000 dólares pelo reporte responsável.
Com este caso, somam-se cinco zero-days activamente explorados no Chrome desde Janeiro de 2026:
- CVE-2026-2441 — Corrigido em Fevereiro
- CVE-2026-3909 — Corrigido em Março
- CVE-2026-3910 — Corrigido em Março
- CVE-2026-5281 — Corrigido em Maio
- CVE-2026-11645 — Corrigido em Junho
A frequência acelerada — um zero-day explorado a cada mês e meio em média — sinaliza pressão crescente sobre o ecossistema Chromium e levanta questões sobre a sustentabilidade do modelo de segurança baseado em correcções reactivas.
Como o ataque funciona
O vector de ataque não exige interacção além de visitar uma página web maliciosa. A página HTML manipulada contém JavaScript especialmente criado para accionar o bug no compilador JIT (Just-In-Time) do V8, causando corrupção de heap. O atacante consegue ler e escrever em posições de memória fora do buffer pretendido.
Segundo análise da SOC Prime, a exploração bem-sucedida pode contornar protecções como ASLR (Address Space Layout Randomization), facilitando o encadeamento com uma segunda vulnerabilidade de sandbox escape para obter execução total no sistema operativo. Este padrão de ataque em duas etapas — exploitar o V8 para escapar à sandbox e depois um segundo bug para comprometer o sistema — é característico de operações de spyware comercial.
Os relatórios públicos indicam que não existe prova de conceito (PoC) disponível até ao momento, mas Google confirmou explicitamente que “um exploit para CVE-2026-11645 existe na natureza”. A ausência de detalhes sobre os alvos ou escala dos ataques é padrão: a empresa só compartilha estas informações após a maioria dos utilizadores estar actualizada.
Impacto em navegadores Chromium
O motor V8 é partilhado por todos os navegadores baseados em Chromium. Microsoft Edge, Brave, Opera e Vivaldi utilizam o mesmo código base e estão igualmente vulneráveis até aplicarem as correções nas suas distribuições. O cronograma varia por fabricante, mas tipicamente ocorre em dias.
Para utilizadores de Chromium (a versão open-source), a correcção depende da distribuição. Empresas que mantêm builds personalizadas de Chromium precisam de integrar manualmente o patch, o que pode levar semanas.
Comparação com zero-days anteriores
| CVE | Componente | CVSS | Mês |
|---|---|---|---|
| CVE-2026-2441 | Network | 8.8 | Fev |
| CVE-2026-3909 | V8 | 8.8 | Mar |
| CVE-2026-3910 | V8 | 8.8 | Mar |
| CVE-2026-5281 | Network | 8.8 | Mai |
| CVE-2026-11645 | V8 | 8.8 | Jun |
Pontos-chave
- CVE-2026-11645 — out-of-bounds read/write no V8, CVSS 8.8
- Quinto zero-day activamente explorado no Chrome em 2026
- Versões afectadas — Chrome anterior a 149.0.7827.102/.103
- Vector — página HTML manipulada, sem necessidade de interacção
- Recompensa — pesquisador recebeu 55.000 dólares
- Browser baseados em Chromium — Edge, Brave, Opera e Vivaldi afectados
O que fazer agora
Actualizar imediatamente é a única medida de defesa fiável. No Chrome, navegar até Menu (⋮) → Ajuda → Sobre o Google Chrome força a verificação e download da actualização. Se a versão mostrada for inferior a 149.0.7827.103, o navegador precisa de reiniciar para aplicar a correcção.
Equipas de TI devem priorizar a actualização de frotas empresariais através de políticas de gestão de dispositivos (MDM). A detecção de exposição passa por identificar instalações não geridas ou desactualizadas do Chrome, especialmente em grupos de utilizadores de alto risco. Não existem indicadores de comprometimento (IOCs) publicados, pelo que a verificação de versão é a métrica mais fiável de mitigação.
O CISA adicionou a vulnerabilidade ao catálogo Known Exploited Vulnerabilities (KEV), exigindo que agências federais americanas apliquem a correcção num prazo de três dias. Organizações privadas devem seguir o mesmo padrão de urgência, dado que exploits activos na natureza são frequentemente generalizados após a divulgação pública.
Para utilizadores avançados que gerem frotas de dispositivos, políticas de MDM (Mobile Device Management) como Google Workspace, Microsoft Intune ou Jamf podem forçar a actualização automática e bloquear navegadores desactualizados. Verificar a versão via linha de comando é possível com chrome --version em Linux ou consultando o registo do Windows em HKLM\Software\Google\Chrome\BLBeacon.