Chrome corrige dois zero-day explorados

A Google lançou uma atualização de emergência para o Chrome 146 para corrigir duas vulnerabilidades zero-day que estavam a ser exploradas ativamente. As falhas, identificadas como CVE-2026-3909 e CVE-2026-3910, apresentam classificação de gravidade elevada e pontuação CVSS de 8,8.

Segundo a empresa, as vulnerabilidades foram identificadas a 10 de março e já existiam exploits em circulação no momento da divulgação.

A primeira falha, CVE-2026-3909, corresponde a um erro de escrita fora de limites (out-of-bounds write) na biblioteca gráfica Skia. A vulnerabilidade pode ser explorada através de páginas HTML maliciosas para provocar corrupção de memória, podendo resultar em execução arbitrária de código ou falhas na aplicação.

A segunda vulnerabilidade, CVE-2026-3910, está relacionada com uma implementação inadequada no motor JavaScript V8. Esta falha pode igualmente ser explorada através de páginas HTML maliciosas para executar código arbitrário. Vulnerabilidades no V8 são frequentemente utilizadas em ataques de escape de sandbox.

A Google não revelou detalhes sobre a forma como estas falhas estão a ser exploradas. No entanto, vulnerabilidades identificadas internamente pela empresa são frequentemente utilizadas por fornecedores de spyware comercial.

As correções foram incluídas nas versões 146.0.7680.75 e 146.0.7680.76 do Chrome para Windows e macOS, bem como na versão 146.0.7680.75 para Linux. O Chrome para Android recebeu as correções na versão 146.0.76380.115.

A atualização de segurança foi disponibilizada apenas dois dias depois da versão Chrome 146 ter sido promovida ao canal estável. Essa versão já incluía correções para 29 vulnerabilidades adicionais.

Entre estas encontrava-se uma falha crítica no WebML e várias vulnerabilidades de elevada gravidade em componentes como Web Speech, Agents, WebMCP, Extensions, TextEncoding, MediaStream, WebMIDI e WindowDialog, além de outras vulnerabilidades classificadas como médias ou baixas.

A Google revelou ainda que pagou cerca de 210 mil dólares em recompensas a investigadores de segurança que reportaram as falhas. O investigador Tobias Wienand recebeu 76 mil dólares pela identificação de duas vulnerabilidades no WebML, enquanto outros investigadores receberam 43 mil e 36 mil dólares por falhas de elevada gravidade em WebML e Web Speech, respetivamente.