Google corrige sexta vulnerabilidade zero day no Chrome só este ano

A Google lançou uma nova atualização do navegador Chrome para corrigir uma falha de segurança grave já explorada em ciberataques. Trata-se da sexta vulnerabilidade zero day resolvida no browser desde o início do ano.

A falha, identificada como CVE-2025-10585, foi reportada pelo Grupo de Análise de Ameaças da Google (TAG) e descrita como uma type confusion no motor JavaScript e WebAssembly V8. Este tipo de vulnerabilidade de memória pode originar falhas inesperadas, permitir a execução remota de código e abrir caminho a ataques direcionados.

Segundo a empresa, basta uma página HTML maliciosa para que a exploração da falha possibilite operações arbitrárias de leitura e escrita à distância. “A Google está ciente de que existe uma exploração para o CVE-2025-10585”, referiu em comunicado, sem revelar detalhes adicionais sobre a vulnerabilidade ou a forma como tem sido usada.

O facto de ter sido identificado pelo TAG sugere que o problema poderá ter sido aproveitado por fornecedores de spyware comercial — uma prática já documentada em falhas anteriores no Chrome.

Além desta correção crítica, a atualização aborda ainda outras vulnerabilidades: duas falhas de use-after-free no Dawn (CVE-2025-10500) e no WebRTC (CVE-2025-10501), premiadas com recompensas de 15 mil e 10 mil dólares, respetivamente. Inclui também uma correção para um heap buffer overflow no motor gráfico ANGLE (CVE-2025-10502), descoberto por um agente de Inteligência Artificial da Google, capaz de identificar falhas conhecidas dos atacantes.

A versão mais recente do Chrome está já a ser distribuída: 140.0.7339.185/.186 para Windows e macOS e 140.0.7339.185 para Linux.