Google corrige quarta zero-day do Chrome em 2026: falha no componente WebGPU era explorada ativamente

Lead

O Google lançou uma atualização emergencial para o navegador Chrome com o objetivo de corrigir a CVE-2026-5281, uma vulnerabilidade crítica de tipo use-after-free no componente Dawn — a implementação multiplataforma do padrão WebGPU — que já estava sendo explorada ativamente em ataques reais antes mesmo da disponibilização do patch. Trata-se da quarta falha zero-day identificada e corrigida no Chrome ao longo de 2026, um marco que reforça a pressão sobre administradores de TI e usuários comuns para manterem o navegador permanentemente atualizado.

Detalhes Técnicos

A vulnerabilidade reside no componente Dawn, responsável por oferecer às aplicações web acesso direto à GPU do dispositivo por meio da API WebGPU — tecnologia cada vez mais adotada em jogos, simulações 3D e ferramentas de inteligência artificial executadas diretamente no navegador. Uma falha use-after-free ocorre quando um programa tenta acessar um bloco de memória que já foi liberado; em condições favoráveis ao atacante, essa condição pode ser explorada para executar código arbitrário no contexto do processo de renderização do navegador. Segundo informações apuradas pelo Help Net Security, um agente mal-intencionado consegue acionar a falha por meio de uma página HTML especialmente construída, sem que o usuário perceba qualquer anomalia.

O pesquisador de segurança identificado pelo pseudônimo 86ac1f1587b71893ed2ad792cd7dde32 foi creditado pela descoberta. A correção chegou nas versões 146.0.7680.177 e 146.0.7680.178 para Windows e macOS, e na versão 146.0.7680.177 para Linux. Todos os usuários rodando builds anteriores a esses números permanecem expostos. A Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA) incluiu a CVE-2026-5281 em seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) em 1º de abril de 2026, estabelecendo prazo de remediação até 15 de abril para agências federais americanas — sinal inequívoco de que a ameaça era concreta e imediata.

Contexto: Um Ano de Vulnerabilidades

A CVE-2026-5281 não está sozinha no dossiê de 2026 do Chrome. Apenas nos primeiros meses do ano, o Google já havia corrigido outras três falhas zero-day: a CVE-2026-2441, uma vulnerabilidade use-after-free no mecanismo de CSS detectada em fevereiro; a CVE-2026-3909, uma escrita fora dos limites de memória (out-of-bounds write) na biblioteca gráfica Skia com pontuação CVSS de 8,8, corrigida em março; e a CVE-2026-3910, outra falha de alta gravidade no motor JavaScript e WebAssembly V8, também em março. O padrão é preocupante: componentes gráficos e de renderização avançada tornaram-se vetores privilegiados de ataque.

O Que Fazer Agora

Para se proteger, os usuários devem acessar o menu do Chrome, navegar até Ajuda > Sobre o Google Chrome e aguardar a conclusão da atualização automática, seguida de reinicialização do navegador. Administradores corporativos que gerenciam frotas de dispositivos devem priorizar o deploy da versão 146.x via políticas de gerenciamento de endpoint. Dado o histórico de exploração ativa confirmada pela CISA, a atualização não é opcional — é urgente.

Fonte original: SempreUpdate. Publicado em 9 de junho de 2026. Corroborado por Help Net Security, The Hacker News, Security Affairs e Tenable.