O Google lançou atualizações de segurança de emergência para corrigir duas vulnerabilidades de alta gravidade do Chrome exploradas em ataques de dia zero.
“O Google está ciente de que explorações para CVE-2026-3909 e CVE-2026-3910 existem à solta”, disse o Google em um comunicado. consultoria de segurança publicado na quinta-feira.
O primeiro dia zero (CVE-2026-3909) decorre de uma gravação fora dos limites fraqueza no Skia, uma biblioteca gráfica 2D de código aberto responsável por renderizar conteúdo da web e elementos da interface do usuário, que os invasores podem explorar para travar o navegador da web ou até mesmo obter execução de código.
O segundo (CVE-2026-3910) é descrito como uma vulnerabilidade de implementação inadequada no mecanismo V8 JavaScript e WebAssembly.
O Google descobriu ambas as falhas de segurança e as corrigiu dois dias após relatar aos usuários do canal Stable Desktop, com novas versões sendo lançadas nos sistemas Windows (146.0.7680.75), macOS (146.0.7680.76) e Linux (146.0.7680.75).
Embora o Google diga que a atualização fora de banda pode levar dias ou semanas para chegar a todos os usuários, ela estava imediatamente disponível quando o BleepingComputer verificou se havia atualizações hoje cedo.
Se não quiser atualizar seu navegador manualmente, você também pode fazer com que ele verifique as atualizações automaticamente e instale-as na próxima inicialização.
Embora o Google tenha encontrado evidências de que os invasores estão explorando essa falha de dia zero, a empresa não compartilhou mais detalhes sobre esses incidentes.
“O acesso aos detalhes e links do bug pode ser mantido restrito até que a maioria dos usuários seja atualizada com uma correção. Também manteremos restrições se o bug existir em uma biblioteca de terceiros da qual outros projetos dependem de forma semelhante, mas ainda não foram corrigidos “, observou.
Estes são o segundo e terceiro dias zero do Chrome explorados ativamente e corrigidos desde o início de 2026. O primeiro, rastreado como CVE-2026-2441 e descrito como um bug de invalidação de iterador em CSSFontFeatureValuesMap (implementação de valores de recursos de fonte CSS do Chrome), foi resolvido em meados de fevereiro.
No ano passado, o Google corrigiu um total de oito dias zero explorados em estado selvagem, muitos dos quais foram relatados pelo Threat Analysis Group (TAG) do Google, um grupo de pesquisadores de segurança conhecido por rastrear e identificar dias zero explorados em ataques de spyware.
Na quinta-feira, o Google também revelou que pagou mais de US$ 17 milhões a 747 pesquisadores de segurança que relataram falhas de segurança por meio de seu Programa de Recompensa de Vulnerabilidade (VRP) em 2025.
O malware está ficando mais inteligente. O Red Report 2026 revela como novas ameaças usam matemática para detectar sandboxes e se esconder à vista de todos.
Baixe nossa análise de 1,1 milhão de amostras maliciosas para descobrir as 10 principais técnicas e ver se sua pilha de segurança está cega.
Deseja saber mais sobre Golpes Online, Spam, Phishing e Cibersegurança Clique Aqui!