O Google lançou uma correção para uma Chrome de alta gravidade Chrome , identificada como CVE-2026-2441, um erro de memória na forma como o navegador lida com certos recursos de fonte que os invasores já estão a explorar.
O CVE-2026-2441 tem a duvidosa honra de ser o primeiro Chrome em 2026. A Google considerou-o suficientemente grave para emitir uma atualização separada do canal estável para ele, em vez de esperar pelo próximo lançamento principal.
Como atualizar Chrome
O número da versão mais recente é145.0.7632.75/76 para Windows macOS, e145.0.7632.75para Linux. Portanto, se Chrome seu Chrome na versão 145.0.7632.75 ou posterior,está protegido contra essas vulnerabilidades.
A maneira mais fácil de atualizar é permitir Chrome atualização automaticamente. Mas pode acabar ficando para trás se nunca fechar o navegador ou se algo der errado, como uma extensão que impeça a atualização.
Para atualizar manualmente, clique no menuMais(três pontos) e vá paraDefinições>Sobre Chrome. Se houver uma atualização disponível, Chrome baixá-la. Reinicie Chrome concluir a atualização e você estará protegido contra essas vulnerabilidades.
Também pode encontrar instruções passo a passo no nosso guia sobrecomo atualizar Chrome todos os sistemas operativos.
Dados técnicos
O Google confirma que observou uma exploração ativa, mas ainda não divulgou quem está a ser alvo, com que frequência ou indicadores detalhados.
Mas podemos obter algumas informações a partir do que sabemos.
A vulnerabilidade é um problema de uso após liberação na funcionalidade de fontes CSS Chrome(CSSFontFeatureValuesMap), que faz parte da forma como os sites exibem e formatam o texto. Mais especificamente: a causa principal é um bug de invalidação do iterador. Chrome um loop sobre um conjunto de valores de funcionalidades de fontes enquanto também alterava esse conjunto, deixando o loop apontando para dados obsoletos até que um invasor conseguisse transformar isso em execução de código.
Use-after-free (UAF) é um tipo de vulnerabilidade de software em que um programa tenta aceder a um local de memória após este ter sido libertado. Isso pode levar a falhas ou, em alguns casos, permitir que um invasor execute o seu próprio código.
O registo CVE afirma: «A utilização após libertação no CSS no Google Chrome à versão 145.0.7632.75 permitiu que um invasor remoto executasse código arbitrário dentro de uma sandbox através de uma página HTML criada para o efeito.» (Grave de segurança do Chromium: Elevada)
Isso significa que um invasor seria capaz de criar um site especial ou outro conteúdo HTML que executaria código dentro da área restrita Chrome .
A sandbox Chromeé como uma caixa segura em torno de cada separador do site. Mesmo que algo dentro do separador se torne malicioso, ele deve ficar confinado e não conseguir interferir no resto do sistema. Ela limita o que o código do site pode acessar em termos de ficheiros, dispositivos e outros aplicativos, de modo que, idealmente, um bug do navegador só dá ao invasor uma vantagem nesse ambiente restrito, e não o controle total da máquina.
Executar código arbitrário dentro da sandbox ainda é perigoso porque o invasor efetivamente «se torna» essa guia do navegador. Ele pode ver e modificar tudo o que a guia pode aceder. Mesmo sem escapar para o sistema operativo, isso é suficiente para roubar contas, plantar backdoors em serviços na nuvem ou redirecionar tráfego sensível.
Se associado a uma vulnerabilidade que permite que um processo escape da sandbox, um invasor pode se mover lateralmente, instalar malware ou encriptar ficheiros, como em qualquer outro comprometimento total do sistema.
Como se manter seguro
Para proteger o seu dispositivo contra ataques que exploram essa vulnerabilidade, é altamente recomendável atualizar o mais rápido possível. Aqui estão mais algumas dicas para evitar ser vítima, mesmo antes que uma vulnerabilidade zero-day seja corrigida:
- Não clique em links não solicitados em e-mails, mensagens, sites desconhecidos ou nas redes sociais.
- Ative as atualizações automáticas e reinicie regularmente. Muitos utilizadores deixam os navegadores abertos durante dias, o que atrasa a proteção, mesmo que a atualização seja descarregada em segundo plano.
- Use uma solução antimalware atualizada e em tempo real que inclua um componente de proteção da web.
Os utilizadores de outros navegadores baseados no Chromium podem esperar uma atualização semelhante.
Não nos limitamos a relatar ameaças — ajudamos a proteger toda a sua identidade digital.
Os riscos de cibersegurança nunca devem ir além das manchetes. Proteja as suas informações pessoais e as da sua família usando proteção de identidade.
