Quinta zero-day do Chrome em 2026
Google corrigiu na segunda-feira (9) uma vulnerabilidade zero-day no motor V8 do Chrome, identificada como CVE-2026-11645 e classificada com severidade alta (CVSS 8,8). Trata-se de uma falha de acesso à memória fora dos limites (out-of-bounds read e write) no engine de JavaScript e WebAssembly do navegador. Um atacante remoto pode explorá-la por meio de uma página HTML maliciosa para executar código arbitrário dentro do sandbox do Chrome. É o quinto zero-day com exploração ativa corrigido pela Google no navegador em 2026.
Como o ataque funciona
A falha reside no compilador e no gerenciador de memória do V8. Como já ocorreu com o Chrome V8 zero-day que permitiu execução remota de código, quando o Chrome processa código JavaScript ou WebAssembly especialmente elaborado, o motor pode realizar leituras e gravações além dos limites do buffer alocado. Isso permite que um atacante manipule a memória do processo do navegador, contorne o sandbox e execute instruções arbitrárias. O ataque é acionado assim que a vítima acessa uma página web contaminada — não é necessário clicar em nenhum download.
Versões e sistemas afetados
| Plataforma | Versão vulnerável | Versão corrigida |
|---|---|---|
| Windows | Anterior a 149.0.7827.103 | 149.0.7827.103 |
| macOS | Anterior a 149.0.7827.103 | 149.0.7827.103 |
| Linux | Anterior a 149.0.7827.102 | 149.0.7827.102 |
Todos os navegadores baseados em Chromium — Microsoft Edge, Brave, Opera e Vivaldi — também são afetados e devem receber correções equivalentes.
Outros zero-days de 2026
Com esta correção, a Google totaliza cinco zero-days com exploração ativa tratados no Chrome em 2026 — assim como ocorreu com o quinto zero-day corrigido anteriormente:
- CVE-2026-2441 — primeiro zero-day do ano, corrigido em janeiro
- CVE-2026-3909 — corrigido em março
- CVE-2026-3910 — corrigido em março
- CVE-2026-5281 — corrigido em maio
- CVE-2026-11645 — corrigido em junho, quinto do ano
O pesquisador identificado como “303f06e3” reportou a falha em 27 de abril de 2026 e recebeu um bounty de US$ 55.000. A Google confirmou que existe exploit em circulação, mas não divulgou detalhes técnicos para evitar uso ampliado da técnica.
O que fazer agora
Atualize o Chrome imediatamente: abra o navegador, acesse o menu Mais > Ajuda > Sobre o Google Chrome e reinicie quando a atualização for concluída. Administradores corporativos devem forçar a atualização via política de grupo ou MDM. Em ambientes com restrição de patch, considere bloquear execução de JavaScript não confiável com extensões como NoScript até que a correção seja aplicada. Verifique também navegadores derivados de Chromium na rede.