Google corrige vulnerabilidades críticas no Chrome

A Google disponibilizou uma atualização de segurança para o navegador Chrome que corrige dez vulnerabilidades, incluindo três classificadas como críticas. A atualização eleva o canal stable para as versões 145.0.7632.159/160 em Windows e macOS e para 145.0.7632.159 em Linux.

Segundo a empresa, as falhas foram identificadas por investigadores de segurança externos e por equipas internas da Google. No âmbito do programa de bug bounty, algumas das vulnerabilidades reportadas resultaram em recompensas superiores a 30 mil dólares.

A vulnerabilidade mais significativa é a CVE-2026-3536, um problema de integer overflow na camada gráfica ANGLE do Chrome. A falha foi reportada pelo investigador identificado como cinzinga a 18 de fevereiro de 2026 e recebeu uma recompensa de 33 mil dólares.

Outra vulnerabilidade crítica é a CVE-2026-3537, relacionada com a gestão do ciclo de vida de objetos no componente PowerVR. A falha foi identificada por Zhihua Yao, investigador da KunLun Lab, e resultou numa recompensa de 32 mil dólares.

A terceira vulnerabilidade crítica, CVE-2026-3538, corresponde a um integer overflow no motor gráfico Skia, responsável pela renderização gráfica no navegador.

As restantes sete vulnerabilidades foram classificadas com gravidade elevada e afetam vários componentes do navegador, incluindo o motor JavaScript V8, WebAssembly, CSS e funcionalidades de navegação.

De acordo com o aviso de segurança da Google, a diversidade de componentes afetados reflete a ampla superfície de ataque dos navegadores modernos, que integram múltiplos subsistemas responsáveis por execução de código, renderização gráfica e processamento multimédia.

Falhas como integer overflow ou heap buffer overflow são frequentemente exploradas por atacantes para executar código remoto ou contornar mecanismos de isolamento do navegador.

A Google refere também que utiliza várias ferramentas automatizadas para detetar vulnerabilidades durante o desenvolvimento do Chrome, incluindo AddressSanitizer, MemorySanitizer, libFuzzer e AFL, destinadas a identificar problemas de segurança relacionados com memória.

A empresa recomenda que os utilizadores atualizem o navegador assim que a nova versão estiver disponível. Em ambientes empresariais, os administradores devem distribuir a atualização através de políticas de gestão de endpoints.

A Google indicou que, até ao momento, não existem evidências de exploração ativa destas vulnerabilidades, mas sublinha que a classificação crítica de algumas falhas torna prioritária a aplicação do patch.