Google e Mozilla corrigem falhas críticas que permitiam execução remota de código

A Google e a Mozilla lançaram atualizações de segurança para os seus navegadores, corrigindo um total de 26 vulnerabilidades identificadas no Chrome 144 e no Firefox 147, algumas das quais classificadas como de elevada gravidade e potencialmente exploráveis para execução remota de código.

O Chrome 144 foi disponibilizado no canal estável com correções para dez falhas de segurança, incluindo três vulnerabilidades de elevada gravidade. Duas dessas falhas afetam o V8, o motor de JavaScript e WebAssembly do navegador. A CVE-2026-0899 corresponde a um acesso fora dos limites de memória, enquanto a CVE-2026-0900 resulta de uma implementação inadequada. A terceira vulnerabilidade grave, CVE-2026-0901, foi identificada no motor Blink e está igualmente relacionada com uma implementação incorreta.

A atualização do Chrome corrige ainda quatro vulnerabilidades de gravidade média e três de gravidade baixa, afetando componentes como V8, Downloads, Digital Credentials, Network, Split View e ANGLE. A Google revelou ter atribuído 18.500 dólares em recompensas no âmbito do seu programa de bug bounty para seis destas falhas, não tendo ainda divulgado os valores relativos às restantes.

A nova versão do navegador está a ser distribuída como Chrome 144.0.7559.59 para Linux e como versões 144[.]0[.]7559[.]59 e 144[.]0[.]7559[.]60 para Windows e macOS.

Por sua vez, a Mozilla lançou o Firefox 147 com correções para 16 vulnerabilidades, das quais sete são consideradas de elevada gravidade. Quatro destas falhas permitem a evasão do sandbox e afetam os componentes de Gráficos e do Sistema de Mensagens do navegador. As restantes incluem um bypass de mitigação no DOM, uma vulnerabilidade de use-after-free no IPC e vários problemas de segurança de memória que podem conduzir à execução remota de código.

A atualização do Firefox resolve ainda cinco vulnerabilidades de gravidade média e três de gravidade baixa, relacionadas com componentes como Networking, JavaScript Engine, JavaScript: GC, Graphics, XML e DOM. Foram igualmente corrigidas várias falhas de segurança de memória agrupadas sob o mesmo identificador CVE.

Em paralelo, a Mozilla disponibilizou as versões Firefox ESR 140[.]7 e Firefox ESR 115[.]32, que incluem correções para muitas das vulnerabilidades tratadas no Firefox 147.

Embora nem a Google nem a Mozilla tenham indicado que estas falhas estejam a ser exploradas ativamente, ambas recomendam que os utilizadores atualizem os seus navegadores o mais rapidamente possível para reduzir o risco de exploração.