Google corrige dois zero-days críticos no Chrome explorados ativamente; CISA exige ação federal
O Google corrigiu duas vulnerabilidades zero-day no Chrome — CVE-2026-3909 (Skia) e CVE-2026-3910 (V8), ambas com CVSS 8.8 — que já eram exploradas ativamente antes da disponibilização do patch. A CISA incluiu as falhas no catálogo KEV e exigiu correção urgente de agências federais americanas.
Lead
O Google lançou correções emergenciais para o Chrome em março de 2026 após confirmar que duas vulnerabilidades inéditas — identificadas como CVE-2026-3909 e CVE-2026-3910 — já estavam sendo ativamente exploradas por atacantes antes mesmo de qualquer patch estar disponível. Ambas as falhas receberam pontuação 8.8 no sistema CVSS, classificação que as enquadra na categoria de alta severidade, e afetam componentes fundamentais do navegador mais utilizado no mundo.
Detalhes Técnicos
A primeira vulnerabilidade, CVE-2026-3909, reside na biblioteca gráfica Skia — o motor de renderização responsável por transformar código em imagens, botões e interfaces visuais dentro do Chrome. A falha é caracterizada como uma escrita fora dos limites de memória (out-of-bounds write): ao processar uma página HTML especialmente construída por um agente malicioso, o navegador acessa regiões de memória que não deveria, abrindo caminho para acesso não autorizado a dados e, potencialmente, execução de código arbitrário na máquina da vítima. A segunda falha, CVE-2026-3910, compromete o motor V8, responsável pela execução de JavaScript e WebAssembly. Classificada como implementação inadequada no tratamento de objetos de script, ela permite que um atacante execute código dentro da sandbox do navegador por meio de uma página web maliciosa — um passo intermediário perigoso que pode servir de trampolim para ataques mais amplos ao sistema operacional.
Resposta das Autoridades
A gravidade da situação chamou a atenção das autoridades americanas de cibersegurança. A CISA (Agência de Segurança de Infraestrutura e Cibersegurança dos Estados Unidos) incluiu ambas as CVEs em seu catálogo KEV (Known Exploited Vulnerabilities) em 13 de março de 2026, impondo um prazo até 27 de março para que agências federais aplicassem as correções disponibilizadas pelo Google. O comunicado oficial da empresa confirmou a exploração real: "Google is aware that exploits for both CVE-2026-3909 and CVE-2026-3910 exist in the wild" — sem, contudo, divulgar detalhes sobre os atores envolvidos ou as vítimas, prática habitual para evitar a proliferação dos exploits antes da adoção em massa das correções.
O Que Fazer
O patch foi distribuído globalmente pela atualização do Chrome para a versão 146.0.7680.75 no Linux e no Windows, e 146.0.7680.76 no macOS. Usuários com atualização automática habilitada receberam a correção de forma transparente; os demais devem verificar manualmente em chrome://settings/help. Embora o patch tenha sido disponibilizado há cerca de três meses, o ciclo de adoção de atualizações no Brasil costuma ser desigual — o que torna a recontextualização desta ameaça relevante para organizações que ainda operam versões desatualizadas do navegador. A recomendação é direta: verificar a versão instalada e atualizar imediatamente. Em ambientes corporativos, políticas de gerenciamento centralizado de navegadores devem garantir conformidade antes que superfícies de ataque já exploradas por agentes externos continuem expostas.
Fonte original: SempreUpdate. Corroborado por BleepingComputer, The Hacker News e The Register.