O Google fechou em 31 de março de 2026 uma falha zero-day no Chrome, a CVE-2026-5281, que já estava sendo explorada por atacantes reais. O problema vive no Dawn, a implementação do padrão WebGPU dentro do Chromium, e afeta não só o Chrome, mas também o Edge, o Brave, o Opera e o Vivaldi — ou seja, praticamente todo navegador que o brasileiro usa no computador. A agência de cibersegurança dos Estados Unidos, a CISA, incluiu a falha no seu catálogo de vulnerabilidades em exploração ativa (KEV) no dia seguinte e deu aos órgãos governamentais até 15 de abril para corrigir.
O que é a CVE-2026-5281
A CVE-2026-5281 é uma vulnerabilidade do tipo use-after-free (uso após liberação) dentro do Dawn, o componente de código aberto que dá vida ao WebGPU — a tecnologia que permite que páginas web usem a placa de vídeo diretamente para gráficos e cálculos pesados. Esse tipo de falha acontece quando o programa continua acessando um pedaço de memória depois de tê-lo liberado, o que abre caminho para corrupção de memória e, sob as condições certas, execução de código malicioso.
O banco de dados nacional de vulnerabilidades dos EUA, o NVD, descreve o cenário com clareza: um atacante remoto que já tivesse comprometido o processo de renderização do navegador poderia executar código arbitrário por meio de uma página HTML maliciosa, segundo o The Hacker News. A pontuação CVSS ficou em 8,8, classificada como alta gravidade, e a Qualys atribuiu o seu próprio índice de risco (QVS) de 95 numa escala de 100, conforme o relatório da Qualys ThreatPROTECT.
É importante entender uma nuance técnica: a exploração não é um simples “abrir a página e pronto”. O atacante precisa primeiro comprometer o processo de renderização do navegador e só então usar a falha do Dawn para escapar das proteções e rodar código. Isso significa que a CVE-2026-5281 costuma ser o segundo estágio de uma cadeia de ataque mais sofisticada — exatamente o tipo de ferramenta usada em espionagem patrocinada por Estados, segundo a análise da SOCRadar.
Por que o WebGPU virou alvo
WebGPU é uma tecnologia relativamente nova. Ela substituiu o antigo WebGL e deu às páginas web acesso moderno à placa de vídeo, o que interessa muito a jogos no navegador, aplicações de inteligência artificial e ferramentas de edição de imagem online. Código novo, pouco auditado e com acesso direto ao hardware é exatamente o terreno que atacantes preferem, porque a revisão de segurança ainda não alcançou o mesmo nível dos componentes mais antigos.
O blog técnico KKM Mako explica o raciocínio: uma cadeia que começa num renderizador comprometido, passa por um objeto liberado do Dawn e termina na fuga da sandbox é o tipo de exploit comercializado entre fornecedores de spyware por valores na casa dos milhões de dólares, com compradores como governos e empresas contratadas por eles. Em outras palavras, um buraco no WebGPU não serve para golpes de R$ 50 — serve para espiar jornalistas, dissidentes e executivos.
| Navegador | Versão corrigida | Como verificar |
|---|---|---|
| Google Chrome | 146.0.7680.177/178 | chrome://settings/help |
| Microsoft Edge | 146.0.3856.97 | edge://settings/help |
| Vivaldi | 7.9 (atualização menor) | vivaldi://about |
| Brave / Opera | Confirmar junto ao fornecedor | Página “Sobre” do navegador |
Quatro zero-days do Chrome em 2026
A CVE-2026-5281 não veio sozinha. Foi o quarto zero-day ativamente explorado que o Google corrigiu no Chrome desde o início de 2026, num padrão que diz muito sobre onde os atacantes estão investindo. Os quatro, em ordem:
- CVE-2026-2441 — use-after-free no processamento de CSS (fevereiro).
- CVE-2026-3909 — escrita fora dos limites na biblioteca gráfica Skia (março).
- CVE-2026-3910 — falha nos motores V8 e WebAssembly (março).
- CVE-2026-5281 — use-after-free no Dawn, o WebGPU (março).
Quatro zero-days explorados em menos de quatro meses não são azar. São o reflexo de um mercado onde cada cadeia completa de exploit no Chrome vale milhões para um conjunto específico de compradores: serviços de inteligência de regimes autoritários que perseguem jornalistas e opositores, espiões industriais em busca de documentos confidenciais e corretores de acesso inicial que revendem pontes já comprometidas para grupos de ransomware. O que esses compradores querem do navegador são as mensagens não enviadas no Gmail, as credenciais corporativas guardadas no gerenciador de senhas, as sessões ativas do Google Workspace e o acesso federado ao Slack, ao GitHub e ao Notion.
A mesma atualação que fechou a CVE-2026-5281 corrigiu mais 20 vulnerabilidades — 19 de alta gravidade e 2 de gravidade média — espalhadas por CSS, GPU, Codecs, ANGLE, WebGL, WebCodecs, V8 e PDF, segundo a lista detalhada da Qualys. Isso reforça a leitura: o motor gráfico do Chromium é hoje uma das superfícies de ataque mais cobiçadas.
Quem está em risco no Brasil
AQUI mora o ponto para o leitor brasileiro. O Chrome sozinho detém a maior fatia do mercado de navegadores no Brasil, e quando se somam Edge, Brave, Opera e Vivaldi — todos baseados em Chromium —, a família domina com folga os computadores usados no país. Se o seu navegador está desatualizado, ele é vulnerável, mesmo que você nunca tenha ouvido falar de WebGPU.
O detalhe que muita gente esquece: as atualizações do Chrome são baixadas automaticamente, mas só entram em vigor quando o navegador é reiniciado. Quem mantém o navegador aberto por dias ou semanas a fio, hábito comum em escritórios e em quem usa o computador para trabalho, pode estar rodando uma versão antiga sem saber. Em redes corporativas, onde a reinicialização costuma ser controlada pela equipe de TI, a janela de exposição pode se estender bem além das duas semanas exigidas pela CISA para os órgãos americanos.
Como atualizar o navegador agora
A correção é direta e leva menos de um minuto. No Chrome, digite chrome://settings/help na barra de endereços e aperte Enter. A página “Sobre o Google Chrome” abre e procura atualizações automaticamente. Se o número de versão mostrar 146.0.7680.177 ou superior, a máquina está protegida. Se for inferior, clique em “Reiniciar” para aplicar a atualização.
No Edge, o caminho é edge://settings/help; no Brave, brave://settings/help; no Vivaldi, vivaldi://about; no Opera, abra “Configurações → Sobre o Opera”. Em todos eles, confirme se a versão do Chromium é 146.0.7680.177 ou mais recente. O Microsoft Edge recebeu o patch na versão estável 146.0.3856.97, de acordo com o aviso da Qualys.
Para quem administra redes corporativas, vale conferir se o Chrome foi atualizado em todos os pontos finais e se a política de reinicialização não está deixando máquinas expostas por tempo demais. O Google confirmou que “um exploit para a CVE-2026-5281 existe em campo”, e deteve detalhes técnicos justamente para que a maioria dos usuários se atualize antes que a técnica vire conhecimento comum.
O que essa sequência nos ensina
Quatro zero-days explorados no mesmo navegador em menos de quatro meses contam uma história clara: a camada de gráficos e renderização virou o novo campo de batalha. Por anos, os atacantes miraram no JavaScript (o motor V8), hoje coberto por décadas de auditoria. Com o V8 endurecido, o foco migrou para o território mais jovem — o WebGPU, o Skia, o processamento de CSS. Onde há código novo e poder de computação, há buraco.
A lição prática não é abandonar o Chrome, mas tratar o navegador como o ativo crítico que ele se tornou. É por ele que passam as sessões de e-mail, as credenciais corporativas e o acesso a praticamente todo serviço em nuvem. Atualizar e reiniciar deixou de ser uma chatice de fim de mês: virou higiene de segurança comparável a trancar a porta de casa. A CISA, ao dar apenas duas semanas para a correção, reconheceu silenciosamente que o adversário assumido aqui é de escala estatal — e mesmo quem não é alvo de espionagem pode virar degrau numa cadeia de ataque maior.
Leia também
- Em junho, o Google corrigiu outro zero-day do Chrome sob exploração ativa, desta vez no motor V8 — um lembrete de que a cadência de falhas não abranda.
- Apenas dois dias antes deste artigo, publicamos a análise da maior atualização de segurança do Chrome, com 382 falhas corrigidas, mostrando o volume de correções que o navegador exige.
- O Edge, baseado no mesmo Chromium, também acumula problemas próprios: confira como três falhas no Edge permitiam execução remota de código.
Referências
- The Hacker News — New Chrome Zero-Day CVE-2026-5281 Under Active Exploitation
- SOCRadar — CVE-2026-5281: Chrome WebGPU Zero-Day Exploited In The Wild
- Qualys ThreatPROTECT — Google Addresses Zero-day Vulnerability Exploited in the Wild
- KKM Mako — Chrome zero-day CVE-2026-5281 (WebGPU/Dawn) under active attack
- Google Chrome Releases — Stable Channel Update for Desktop (31 de março de 2026)