A Google emitiu uma atualização de segurança de emergência para o seu popular navegador Chrome, destinada a corrigir a terceira vulnerabilidade "zero-day" – uma falha de segurança conhecida por atacantes antes de existir uma correção oficial – que foi explorada ativamente desde o início do ano. A empresa recomenda a todos os utilizadores que atualizem o browser o mais rapidamente possível.
Num aviso de segurança publicado na passada segunda-feira, a Google confirmou estar ciente de que "existe um exploit para a CVE-2025-5419 a circular livremente".
Detalhes da vulnerabilidade e resposta da Google
Esta falha de segurança, classificada como de gravidade elevada e identificada como CVE-2025-5419, reside numa deficiência de leitura e escrita fora dos limites ("out-of-bounds read and write") no motor V8 JavaScript do Chrome. A vulnerabilidade foi reportada há uma semana por Clement Lecigne e Benoît Sevens, membros do Threat Analysis Group (TAG) da Google.
Segundo a gigante tecnológica, o problema foi inicialmente mitigado apenas um dia após o seu reporte, através de uma alteração de configuração que a empresa implementou no canal estável (Stable channel) para todas as plataformas onde o Chrome está disponível.
Na segunda-feira, a Google disponibilizou a correção definitiva com o lançamento das versões 137.0.7151.68/.69 para Windows e Mac, e 137.0.7151.68 para Linux. Estas atualizações estão a ser progressivamente disponibilizadas aos utilizadores do canal estável para computadores ao longo das próximas semanas.
Como atualizar o Google Chrome e garantir a sua segurança
Embora o Google Chrome seja desenhado para se atualizar automaticamente assim que novas correções de segurança são disponibilizadas, os utilizadores podem, e devem neste caso, acelerar o processo. Para tal, basta aceder ao menu do Chrome (os três pontos verticais no canto superior direito), selecionar "Ajuda" e depois "Acerca do Google Chrome". O navegador irá procurar por atualizações; caso exista uma pendente, deverá permitir que a transferência termine e, de seguida, clicar no botão "Reiniciar" para instalar a correção imediatamente.
Google retém detalhes sobre os ataques
Apesar de confirmar a exploração ativa da vulnerabilidade CVE-2025-5419, a Google optou por não partilhar informações adicionais sobre os ataques em curso. Esta é uma prática comum da empresa, que visa proteger os utilizadores até que a maioria tenha tido a oportunidade de instalar as correções. "O acesso aos detalhes do erro e aos links pode ser mantido restrito até que a maioria dos utilizadores esteja atualizada com uma correção", afirmou a Google. "Manteremos também as restrições se o erro existir numa biblioteca de terceiros da qual outros projetos dependam similarmente, mas que ainda não o tenham corrigido."
Um histórico preocupante de vulnerabilidades "zero-day"
Esta é já a terceira vulnerabilidade "zero-day" no Chrome que a Google teve de corrigir desde o início de 2025. As duas anteriores foram endereçadas em março e maio. A primeira falha de 2025, identificada como CVE-2025-2783 e classificada como de alta gravidade, era uma falha de escape à "sandbox" descoberta por Boris Larin e Igor Kuznetsov da Kaspersky. Esta vulnerabilidade foi utilizada para distribuir malware em ataques de espionagem visando organizações governamentais e meios de comunicação russos. Em maio, a empresa lançou outro conjunto de atualizações de emergência para corrigir uma "zero-day" no Chrome que poderia permitir a atacantes assumir o controlo de contas após uma exploração bem-sucedida.
No ano passado, em 2024, a Google corrigiu um total de 10 vulnerabilidades "zero-day" que foram demonstradas durante a competição de hacking Pwn2Own ou exploradas ativamente em ataques.
Nenhum comentário
Seja o primeiro!