- O Chrome corrigiu zero-days críticos, como CVE-2025-6558 (ANGLE/GPU) e CVE-2025-5419 (V8), ambos ativamente explorados.
- Atualização para 138.0.7204.157/.158 (Windows/macOS) e 138.0.7204.157 (Linux); versões 137.x corrigidas V8.
- Explorações lideram o acesso inicial; fortaleça as detecções Zero Trust e Sigma/ATT&CK para reduzir a janela de exposição.
- Campanhas como a Operation ForumTroll combinam phishing e exploits; elas usam verificação de link extrema e aplicação rápida de patches.
O ritmo em que vulnerabilidades críticas surgem continua inabalável, e o navegador mais usado do mundo está mais uma vez no centro das conversas. Cromo teve que reagir com patches de emergência para novas falhas que já estavam sendo exploradas ativamente: la Proteção aprimorada de dia zero.
Nas últimas semanas, foram emitidos vários alertas relevantes: de um Escape de sandbox via ANGLE/GPU (CVE-2025-6558) a um problema grave no motor JavaScript V8 (CVE-2025-5419), passando por um exploit atribuído a campanhas de espionagem (CVE-2025-2783). Tudo isso, num contexto em que As explorações continuam a liderar o acesso inicial em intrusões e dezenas de zero-days foram relatados como explorados em 2024 e 2025.
Visão geral: Ascensão dos dias zero e pressão sobre os navegadores
Os dados confirmam o que muitas equipes de segurança vivenciam diariamente: A exploração de dia zero vem aumentando há vários anos.A equipe do Google Threat Intelligence registrou 75 vulnerabilidades de dia zero exploradas ativamente em 2024, indicando que o mercado de exploração e as cadeias de ataque continuam vibrantes.
Em 2025, os exploits continuam a dominar como o vetor de entrada inicial em incidentes, representando cerca de 33% dos vetores de intrusão observado. Para os defensores, isso se traduz em menos espaço de manobra e uma maior necessidade de detecção e resposta rápidas, especialmente em componentes críticos como navegadores.
Os holofotes da mídia estão voltados para o Chrome, mas é importante não perder de vista o contexto mais amplo, incluindo novos navegadores como Navegador OpenAI, e Outras tecnologias-chave também tiveram falhas críticas, como o firewall de aplicação web FortiWeb (CVE-2025-25257). A mensagem subjacente é clara: os invasores estão explorando todas as partes críticas da superfície de ataque.
Este cenário exige que provedores e organizações acelerem sua capacidade de resposta. A Proteção Aprimorada de Dia Zero é mais do que uma medida de precaução; é uma necessidade real.
CVE-2025-6558: Escape de sandbox via ANGLE/GPU
Com a proteção aprimorada de dia zero em mente, o Google lançou patches para várias vulnerabilidades no Chrome e confirmou que CVE-2025-6558 estava sendo explorado ativamenteEssa falha permite que um invasor remoto ignore a sandbox do navegador com uma página HTML criada, aproveitando o tratamento impróprio de entradas não confiáveis em componentes como ANGLE e a GPU.
Por que é tão complicado? ANGLE é a camada de tradução entre o mecanismo de renderização e os drivers gráficos do sistema. Se a interação com a GPU for manipulada em um nível baixo, rotas de fuga para o isolamento do navegador podem ser abertas e os recursos do sistema host podem ser comprometidos. Para o usuário, isso significa que a simples visita a um site malicioso pode levar a um comprometimento profundo.
Embora o Google não tenha fornecido os detalhes técnicos da exploração, ele apontou a exploração em cenários do mundo real e sugeriu possível atividade de atores altamente capazesEsses tipos de vulnerabilidades são especialmente atraentes para campanhas direcionadas e espionagem.
Como medida de mitigação urgente, o Google recomenda a atualização Chrome para a versão 138.0.7204.157/.158 no Windows e macOS, já o 138.0.7204.157 no LinuxSe você usa navegadores baseados em Chromium (Edge, Brave, Opera, Vivaldi, etc.), aplique as atualizações que forem disponibilizadas o mais rápido possível e avalie alternativas ao ArcEm muitos casos, fechar e reabrir o Chrome após baixar o patch é suficiente.
O mesmo lote de patches corrigiu outros bugs relevantes que vale a pena conhecer, já que um adversário pode encadear vulnerabilidades para aumentar o impacto:
- CVE-2025-6554: erro de programação capaz de causar falhas de memória e potencial execução remota de código.
- CVE-2025-6555: afeta o mecanismo JavaScript; pode ser usado para executar instruções perigosas.
- CVE-2025-6556: Gravação fora dos limites que permitiu que sites maliciosos alterassem áreas de memória não autorizadas.
- CVE-2025-6557: : Problema no Mojo (comunicação entre processos) que pode facilitar cenários de abuso.
- CVE-2025-6558: o escape do sandbox ANGLE/GPU mencionado anteriormente.
- CVE-2025-6559: condições de simultaneidade no sistema gráfico com efeitos erráticos exploráveis.
Como atualizar o Google Chrome com segurança
Embora o Chrome geralmente se atualize sozinho, é uma boa ideia verificar manualmente se há uma notificação de emergência. No desktop, acesse Menu > Ajuda > Sobre o Google ChromeSe uma versão estiver pendente, o navegador fará o download e a instalará e solicitará que você reinicie para aplicar o patch.
Para ser coberto contra CVE-2025-6558 e o restante do pacote mais recente, Certifique-se de ter 138.0.7204.157/.158 no Windows e macOSe o 138.0.7204.157 no LinuxEm muitos casos, fechar e reabrir o Chrome após o download do patch é suficiente; caso contrário, force a reinicialização.
Se você gerencia um ambiente corporativo, fortaleça os controles: política de atualização automatizada e supervisionada, revisão periódica das versões implantadas e notificação aos usuários para reiniciarem conforme apropriado. Um atraso de alguns dias na ativação da Proteção Aprimorada de Dia Zero pode fazer toda a diferença diante de um ataque oportunista.
E claro, se você usa Edge, Brave, Opera ou outros navegadores baseados em Chromium, monitore seus canais estáveisOs fornecedores geralmente lançam seus próprios patches em sincronia com o do Chrome ou logo após.
Paralelamente, habilite e verifique os controles de mitigação do sistema operacional (ASLR, DEP, Control Flow Guard…) e as políticas de proteção oferecidas pelo seu endpoint, pois Essas camadas podem amortecer a exploração enquanto um patch definitivo chega.
CVE-2025-5419: Leitura/gravação fora dos limites no V8
Outro alerta importante recente é CVE-2025-5419, uma vulnerabilidade de alta gravidade no mecanismo V8 JavaScript/WebAssembly. Ela permite ler e escrever fora dos limites da memória, o que abre portas para corrupção de memória e potencial execução de código.
Pesquisadores do Grupo de Análise de Ameaças (TAG) do Google descobriram o problema e, em resposta à sua exploração ativa, a empresa respondeu em duas fases: Primeiro, uma mitigação de configuração no nível do canal estável, e então um patch oficial. As versões corrigidas foram 137.0.7151.68/.69 no Windows e macOS, e 137.0.7151.68 no Linux.
Em termos de natureza técnica, foi descrito como uma possível confusão de tipos dentro do V8, onde a maneira como o mecanismo interpreta os objetos na memória pode levar a estados perigosos. O Google optou por detalhes técnicos reservados até que uma grande porcentagem de usuários já esteja protegida e também para evitar danos a bibliotecas de terceiros caso elas permaneçam sem patches.
CVE-2025-2783 e a campanha de phishing "Operation ForumTroll"
Em março foi feito um patch fuga da caixa de areia (CVE-2025-2783) usado para implantar malware em ataques de espionagem contra a mídia russa e entidades governamentais, de acordo com várias fontes. Meses depois, outra vulnerabilidade permitiu que contas de usuários fossem comprometidas sob condições específicas, mostrando que Atores combinam engenharia social e falhas no navegador.
Uma investigação da Kaspersky detalha o chamado Operação ForumTroll, uma campanha de phishing que se passava pelo fórum internacional Leituras de Primakov. O e-mail fraudulento incluía links para o programa do evento e inscrições, mas redirecionado para sites falsos que, quando visitado com os navegadores Chrome ou Chromium, fazia com que o dispositivo fosse infectado quase automaticamente.
A Kaspersky aponta que o exploit ignorou os mecanismos de defesa da sandbox para alcançar persistência e roubo de informações, com foco especial em jornalistas, profissionais da educação e representantes da mídia na Rússia. É um bom lembrete de que basta abrir uma aba maliciosa para que uma cadeia de exploração seja acionada se um dia zero estiver disponível.
Embora o vetor inicial fosse o phishing, o importante é que a exploração do navegador não exigiu nenhuma interação adicional além da visita. Este modelo de ataque minimiza o atrito e aumenta a taxa de sucesso, daí a urgência de aplicar proteção de dia zero aprimorada e reduzir a superfície de exposição.
Proteção aprimorada de dia zero: detecções, confiança zero e resposta
Além de "corrigir o mais rápido possível", existem medidas que aumentam a resiliência a esses tipos de incidentes. Primeiro, telemetria e detecções baseadas em comportamento que ajudam a identificar anomalias exploráveis (por exemplo, atividade incomum do processo de renderização, cadeias de exploração conhecidas ou abuso de IPC, como Mojo).
Se falamos de Enhanced Zero Day Protection, a comunidade de detecção recomenda consumir Regras Sigma e conteúdo de caça Marcado como CVE, mapeado para MITRE ATT&CK e compatível com Dezenas de formatos SIEM, EDR e data lakePlataformas especializadas oferecem um mercado com centenas de milhares de regras atualizadas diariamente e enriquecidas com inteligência de IA nativa, para defesa proativa contra ameaças emergentes.
Uma proposta notável é Uncoder AI, um copiloto de IA para engenharia de detecção que acelera a geração de Regras de Roota e Sigma, transforma a inteligência de ameaças em lógica operacional, documenta e refina o código e oferece suporte 56 linguagens de consultaEle também permite a criação de fluxos de ataque com mapeamento ATT&CK usando IA/ML para fornecer suporte de ponta a ponta para engenheiros de detecção.
Como parte da pilha de defesa, alguns pacotes incluem um botão ou repositório de Explorar Detecções para acessar instantaneamente conteúdo verificado, incluindo links CTI, cronogramas de ataque, auditorias de configuração e recomendações de triagem. Integre esse conteúdo ao seu pipeline de detecção. reduz o tempo médio de resposta contra campanhas que exploram ataques de dia zero.
Em termos de arquitetura, reforça uma estratégia de confiança zero: segmentação de rede, privilégio mínimo em endpoints, controle de aplicações e isolamento de processos sensíveis. Essas camadas não impedirão a ocorrência de um dia zero, mas reduzir o raio de impacto e dificultar a escalada de privilégios após um comprometimento inicial do navegador.
Por fim, mantenha procedimentos claros para aplicação urgente de patches: listas de distribuição para notificações de segurança, inventário de versões implantadas, e janelas de manutenção ágeis para navegadores. Em campanhas como as descritas, a redução das horas de exposição pode evitar compromissos em grande escala.
O panorama que essas vulnerabilidades pintam é sombrio: o navegador é um ponto de entrada estratégico, e os invasores sabem disso. Uma proteção aprimorada de dia zero é essencial: Com aplicação rápida de patches, práticas recomendadas de confiança zero e detecções prontas para produção, você pode passar da defesa para o corte de cadeias ofensivas antes que elas se intensifiquem.
Editor especializado em temas de tecnologia e internet com mais de dez anos de experiência em diferentes mídias digitais. Já trabalhei como editor e criador de conteúdo para empresas de e-commerce, comunicação, marketing online e publicidade. Também escrevi em sites de economia, finanças e outros setores. Meu trabalho também é minha paixão. Agora, através dos meus artigos em Tecnobits, procuro explorar todas as novidades e novas oportunidades que o mundo da tecnologia nos oferece todos os dias para melhorar nossas vidas.