Resumo: A Google corrigiu o CVE-2026-11645, uma vulnerabilidade de alta gravidade no motor V8 do Chrome com pontuação CVSS 8.8 e exploração ativa confirmada. É o quinto zero-day do navegador explorado na natureza em 2026 — número que já supera anos anteriores inteiros. Atualizar o Chrome imediatamente é a principal medida de proteção para os mais de 160 milhões de internautas brasileiros.
Recorde de zero-days no Chrome
Google corrigiu na última semana de junho de 2026 uma vulnerabilidade de gravidade alta no motor V8 do Chrome — o CVE-2026-11645 — com pontuação CVSS 8.8. A falha consiste em um acesso indevido à memória fora dos limites (out-of-bounds memory access) dentro do motor JavaScript e WebAssembly que executa praticamente toda a lógica de qualquer site que você abre. O detalhe preocupante: a Google confirmou que o exploit já circula na natureza antes do patch ser lançado. É o quinto zero-day do Chrome com exploração ativa em 2026.
Para o brasileiro que usa o Chrome como navegador padrão — cerca de 65% do mercado no país segundo o StatCounter — isso significa que, até a atualização ser instalada, qualquer site malicioso poderia executar código no computador da vítima sem que ela percebesse. Basta visitar uma página. Sem download. Sem clique em anexo. O motor V8 processa o JavaScript do site e, na versão vulnerável, permite que um atacante manipule regiões de memória que deveriam estar isoladas.
Como funciona o CVE-2026-11645
O V8 é o coração do Chrome. Ele compila JavaScript em código de máquina em tempo real para maximizar a performance. Esse design de alto desempenho introduz complexidade na gestão de memória — e é exatamente onde mora o risco. O out-of-bounds access permite que um atacante leia ou escreva em posições de memória além do buffer alocado, rompendo o sandbox do navegador e potencialmente alcançando o sistema operacional.
Ataques desse tipo são particularmente perigosos porque exploram a própria infraestrutura de execução do navegador. Não há plugin desabilitado, não há configuração de segurança que impeça a execução do JavaScript necessário para o funcionamento de sites. O atacante precisa apenas que a vítima carregue uma página com o exploit embutido — algo que pode acontecer via anúncio malicioso em qualquer site legítimo (malvertising) ou via link em phishing direcionado.
A sequência preocupante de 2026
O CVE-2026-11645 não é um evento isolado. Desde janeiro, a Google já corrigiu cinco zero-days com exploração ativa no Chrome:
| CVE | Mês | Componente | CVSS |
|---|---|---|---|
| CVE-2026-2441 | Janeiro | WebGL | 8.8 |
| CVE-2026-3909 | Fevereiro | LibXML | 8.8 |
| CVE-2026-3910 | Fevereiro | Angle | 8.8 |
| CVE-2026-5281 | Abril | Skia | 8.8 |
| CVE-2026-11645 | Junho | V8 | 8.8 |
A cadência é anômala. Em anos anteriores, o Chrome costumava ter entre dois e quatro zero-days explorados por ano inteiro. Em seis meses de 2026, a contagem já iguala ou supera anos anteriores. Segundo o relatório da Rapid7 sobre o Patch Tuesday de junho, a indústria como um todo registrou um salto drástico no número de vulnerabilidades de navegador — a Microsoft sozinha publicou patches para 360 vulnerabilidades de browser em junho de 2026, número que costumava ser uma fração disso em meses anteriores.
O aumento não é coincidência. Ferramentas de fuzzing assistidas por IA estão descobrindo bugs mais rápido, mas o mesmo tipo de ferramenta está disponível tanto para pesquisadores de defesa quanto para desenvolvedores de exploit. Quando um zero-day é descoberto e explorado antes que o vendor consiga lançar o patch, o resultado é exatamente a sequência que estamos vendo.
Impacto real para o usuário brasileiro
O Brasil é o sexto maior país em número de usuários de internet no mundo, com mais de 160 milhões de pessoas conectadas. A maioria navega pelo Chrome em dispositivos Android ou Windows — exatamente os alvos do CVE-2026-11645. Em um cenário onde o phishing bancário já é uma indústria bilionária no país, a combinação de um zero-day no navegador com campanhas de phishing direcionadas cria um risco multiplicado.
Um atacante que explora o V8 não precisa de engenharia social elaborada. Ele pode injetar o exploit em um anúncio que aparece em sites de notícia, em um resultado de busca patrocinado ou em uma mensagem no WhatsApp que redireciona para uma página comprometida. A vítima nem precisa clicar em nada além do link — o JavaScript malicioso executa automaticamente ao carregar a página.
O que fazer agora
A primeira e mais urgente medida é garantir que o Chrome está atualizado. A Google distribui correções automaticamente, mas em ambientes corporativos com políticas de atualização controlada — comuns em bancos, órgãos públicos e empresas de médio porte no Brasil — o atraso entre o patch e a aplicação real pode ser de dias ou semanas. Esse intervalo é a janela de exploração.
Para usuários individuais, a verificação é simples: abra o menu do Chrome (três pontos no canto superior), vá em Ajuda > Sobre o Google Chrome. O navegador busca automaticamente a versão mais recente. Reinicie quando solicitado. A versão corrigida do CVE-2026-11645 foi distribuída na atualização 138.0.7204.92 (Windows) e equivalentes para macOS e Linux.
Para equipes de segurança de empresas, o cenário exige uma revisão imediata. Ferramentas de gestão de vulnerabilidades corporativas devem ser priorizadas quando o patch envolve um navegador com exploração ativa confirmada. Políticas de atualização automática de browser precisam ser mandatórias, não opcionais. O custo de um dia de atraso é potencialmente catastrófico.
O quadro mais amplo
Junho de 2026 foi particularmente brutal para a segurança digital global. Além do Chrome zero-day, a The Hacker News documentou na mesma semana a exploração de uma falha crítica na VPN da Check Point (CVE-2026-50751, CVSS 9.3) já associada ao ransomware Qilin, o comprometimento de mais de 1.500 pacotes no Arch Linux por uma campanha batizada de Atomic Arch, e o fechamento de uma operação de phishing-as-a-service chinesa chamada Outsider, responsável pelo roubo de 3,87 milhões de cartões de crédito.
O volume de vulnerabilidades com exploração ativa em junho reflete uma tendência estrutural: a distância entre a descoberta e a exploração está encolhendo. Patches que antes tinham semanas para serem aplicados agora enfrentam exploits dentro de dias. Para o usuário final, a mensagem é simples — não espere. Atualize agora.