A Google emitiu um alerta de segurança crítico e lançou atualizações de emergência para o seu popular navegador Chrome. Em causa está uma vulnerabilidade de alta gravidade que, se explorada com sucesso, pode permitir que atacantes assumam o controlo total das contas dos utilizadores. A gigante tecnológica já veio a público admitir que existe um exploit (código malicioso que tira partido da falha) a circular, o que habitualmente significa que a falha pode estar a ser ativamente explorada.
Se utiliza o Google Chrome, a mensagem é clara: atualize o seu navegador o mais rapidamente possível.
O que aconteceu?
Num comunicado emitido esta quarta-feira, 14 de maio de 2025, a Google informou: "A Google está ciente de relatos de que um exploit para a CVE-2025-4664 existe na natureza". Esta vulnerabilidade, identificada como CVE-2025-4664, foi descoberta pelo investigador de segurança Vsevolod Kokorin, da Solidlab.
A falha reside numa aplicação inadequada de políticas no componente "Loader" do Chrome. Esta brecha permite que atacantes remotos consigam extrair dados entre diferentes origens (cross-origin) através de páginas HTML engenhosamente criadas para o efeito.
Como funciona esta falha?
Para os mais curiosos tecnicamente, Vsevolod Kokorin explicou o mecanismo: ao contrário de outros navegadores, o Chrome processa o cabeçalho "Link" em pedidos de sub-recursos. O problema é que este cabeçalho "Link" pode definir uma política de referência (referrer-policy). Ao especificar uma política como "unsafe-url", um atacante consegue capturar todos os parâmetros de uma consulta web.
Estes parâmetros podem, por vezes, conter informações extremamente sensíveis. "Por exemplo, em fluxos de autenticação OAuth, isto pode levar à tomada de controlo de uma conta", detalhou Kokorin. Acrescentou ainda que "os programadores raramente consideram a possibilidade de roubo de parâmetros de consulta através de uma imagem de um recurso de terceiros". Simplificando, uma imagem aparentemente inofensiva numa página web poderia ser a porta de entrada para o roubo dos seus dados.
Proteja-se já: Atualização urgente!
A Google já disponibilizou as correções para esta perigosa falha. As versões seguras do Chrome são:
- 136.0.7103.113 para Windows e Linux
- 136.0.7103.114 para macOS
A empresa refere que a atualização será distribuída globalmente ao longo dos próximos dias e semanas.
Para garantir a sua segurança:
- Abra o Chrome.
- Clique nos três pontos verticais no canto superior direito.
- Vá a "Ajuda" e depois "Acerca do Google Chrome".
- O Chrome irá procurar automaticamente por atualizações e instalá-las. Poderá ser necessário reiniciar o navegador.
Se preferir não o fazer manualmente, o Chrome deverá verificar e instalar a atualização automaticamente no próximo arranque.
Um historial preocupante?
Esta não é a primeira vez este ano que o Chrome enfrenta problemas de segurança significativos. Em março de 2025, a Google corrigiu outra vulnerabilidade zero-day de alta gravidade (CVE-2025-2783). Essa falha, descoberta por investigadores da Kaspersky, estava a ser ativamente explorada para contornar as proteções de sandbox do Chrome e infetar alvos com malware, nomeadamente em ataques de espionagem contra organizações governamentais russas, meios de comunicação e instituições de ensino.
Recorde-se ainda que, durante o ano de 2024, a Google corrigiu um total de 10 vulnerabilidades zero-day que foram divulgadas durante a competição de hacking Pwn2Own ou exploradas em ataques reais.
A mensagem é clara: manter o seu navegador atualizado é uma das barreiras mais importantes para se proteger online. Não adie a atualização do seu Google Chrome!
Nenhum comentário
Seja o primeiro!