Resumo
- Vulnerabilidade: CVE-2026-11645 — leitura/escrita fora dos limites no engine V8 do Google Chrome, gravidade alta.
- Status: Exploração ativa confirmada por Google. Quinto zero-day do Chrome explorado em 2026.
- Versão com correção: Chrome 149 para desktop.
- Impacto: execução remota de código via página HTML maliciosa dentro da sandbox do navegador.
O Google corrigiu na segunda-feira (9) a quinta vulnerabilidade zero-day do Chrome explorada ativamente em 2026. A falha, rastreada como CVE-2026-11645, afeta o engine JavaScript V8 e permite que um invasor remoto execute código arbitrário dentro da sandbox do navegador por meio de uma página HTML especialmente criada. O patch foi incluído na atualização Chrome 149, que resolve outras 73 vulnerabilidades.
Como funciona a falha V8
A vulnerabilidade é classificada como um problema de leitura e escrita fora dos limites (out-of-bounds read/write) no V8, o engine de JavaScript que compila e executa código nas páginas visitadas pelo usuário. Esse tipo de falha ocorre quando o compilador JIT (Just-In-Time) do V8 não valida corretamente os limites de memória durante a otimização de código JavaScript. O resultado prático é que uma página web maliciosa pode ler ou gravar dados em posições de memória que deveriam estar protegidas.
Em termos de exploração, isso significa que o atacante consegue executar código dentro do processo do renderizador do Chrome. O Google não divulgou detalhes sobre os ataques observados, mas pesquisadores de segurança indicam que a falha provavelmente foi encadeada com uma vulnerabilidade de escape de sandbox para obter execução de código no sistema operacional do usuário.
Os cinco zero-days de 2026
O ano de 2026 já registra cinco zero-days no Chrome com exploração ativa confirmada, evidenciando a pressão crescente sobre o navegador mais usado do mundo. A tabela abaixo resume as falhas:
| CVE | Tipo | Componente | Correção |
|---|---|---|---|
| CVE-2026-2441 | Invalidação de iterador | CSSFontFeatureValuesMap | Chrome 145 |
| CVE-2026-3909 | Não divulgado | Não divulgado | Chrome 147 |
| CVE-2026-3910 | Não divulgado | Não divulgado | Chrome 147 |
| CVE-2026-5281 | Use-after-free | Não divulgado | Chrome 148 |
| CVE-2026-11645 | Out-of-bounds R/W | V8 | Chrome 149 |
A falha CVE-2026-11645 foi reportada ao Google no final de abril por um pesquisador anônimo que recebeu US$ 55 mil de recompensa. Segundo a SecurityWeek, o mesmo pesquisante, identificado pelo código interno “303f06e3”, já havia reportado outras vulnerabilidades do Chrome anteriormente.
Surto de falhas ligado à IA
O volume de vulnerabilidades corrigidas no Chrome disparou nos últimos meses — a atualização anterior, Chrome 148, corrigiu 429 falhas, e o Chrome 149 resolve mais 74. O Google ainda não confirmou oficialmente, mas o aumento coincide com o uso de ferramentas de IA para encontrar bugs em larga escala. A empresa reduziu recentemente os valores base das recompensas por vulnerabilidades justificando que a IA tornou a descoberta mais rápida.
Essa dinâmica cria um paradoxo: mais falhas são encontradas e corrigidas, mas a janela de exploração antes da correção também pode ser menor. O problema real são os zero-days descobertos por atacantes antes do Google — como todos os cinco casos de 2026.
O que fazer agora
- Atualize imediatamente para o Chrome 149 (chrome://settings/help). A correção está disponível para Windows, macOS e Linux.
- Verifique a versão de todos os navegadores Chromium (Edge, Brave, Opera, Vivaldi) — eles também usam o V8 e recebem o patch downstream.
- Habilite atualizações automáticas em ambientes corporativos via política de grupo ou MDM.
- Monitore logs de navegador em estações com acesso a dados sensíveis, buscando padrões de crash no V8 que possam indicar tentativa de exploração.
- Considere Enhanced Safe Browsing do Chrome, que bloqueia páginas maliciosas conhecidas antes do carregamento.