Threats
Foi divulgado um proof-of-concept para uma vulnerabilidade crítica zero-day no Chrome explorada ativamente. A vulnerabilidade afeta o motor Blink e permite execução de código no sandbox
20/02/2026
|
Foi publicado um proof-of-concept (PoC) funcional para a CVE-2026-2441, uma vulnerabilidade zero-day crítica no Google Chrome que está a ser explorada ativamente. A falha afeta o motor de renderização Blink, mais concretamente o componente CSSFontFeatureValuesMap. Reportada a 11 de fevereiro de 2026 pelo investigador Shaheen Fazim, a vulnerabilidade foi corrigida pela Google dois dias depois, através de uma atualização de emergência. Trata-se do primeiro zero-day confirmado no Chrome em 2026. A origem do problema está numa falha de invalidação de iteradores (iterator invalidation), que conduz a uma condição de use-after-free (UAF). O objeto FontFeatureValuesMapIterationSource armazenava um ponteiro bruto para uma estrutura interna HashMap. Quando essa estrutura era modificada durante a iteração ocorria um rehash, libertando a memória anterior e tornando o ponteiro inválido. A correção introduzida pela Google substitui o ponteiro bruto por uma cópia profunda da HashMap, garantindo que o iterador opera sobre um snapshot isolado, imune a alterações estruturais. Em versões não corrigidas, o Chrome pode falhar em Windows ou em Linux e macOS, confirmando o acesso a memória libertada. O impacto imediato está limitado ao processo de renderização dentro do sandbox, mas permite execução arbitrária de código nesse contexto, fuga de informação através de ponteiros V8 e potencial roubo de credenciais. Embora o exploit esteja confinado ao sandbox, quando combinado com uma vulnerabilidade adicional de sandbox escape pode integrar uma cadeia completa de compromisso do sistema, num padrão já observado em campanhas anteriores envolvendo zero-days em navegadores. A vulnerabilidade pode ser explorada através de drive-by download, exigindo apenas que a vítima visite uma página maliciosa, o que a torna adequada para campanhas de malvertising, watering hole ou spear-phishing. A CISA adicionou a CVE-2026-2441 ao catálogo Known Exploited Vulnerabilities (KEV). A Google recomenda a atualização imediata para a versão 145.0.7632.75 ou superior em Windows e macOS, e 144.0.7559.75 ou superior em Linux. Utilizadores de browsers baseados em Chromium devem aplicar as atualizações disponibilizadas pelos respetivos fornecedores. |
Receba todas as novidades na sua caixa de correio!
NEWS
Cargos de CISO ao nível executivo ganham peso nas organizações em 2026
THREATS
Microsoft corrige seis vulnerabilidades zero-day exploradas ativamente no Patch Tuesday
THREATS
ZeroDayRAT expõe Android e iOS a espionagem móvel avançada
ITS CONF
Conheça os Parceiros da segunda edição da IT Security Summit Porto 2026
EXPERT
A Ameaça Interna: Um risco subestimado nas organizações
THREATS
Mais de 300 extensões Chrome expõem dados de milhões de utilizadores
THREATS
Botnet SSHStalker infeta sete mil sistemas Linux
THREATS
Grupos patrocinados por Estados recorrem ao Gemini para operações de ciberespionagem
THREATS
Google alerta para pressão contínua de ciberameaças contra defesa
THREATS
Chrome 145 corrige falhas críticas de segurança
