CVE-2026-11645: a falha de type-confusion no V8 do Google Chrome

O Google confirmou a exploração ativa da CVE-2026-11645, uma vulnerabilidade crítica de type-confusion localizada no motor JavaScript V8 do Google Chrome. A falha permite que um atacante execute código remotamente no sistema da vítima — sem precisar de acesso prévio à máquina, apenas induzindo o usuário a abrir uma página HTML especialmente construída. O patch de emergência foi disponibilizado para o Google Chrome a partir da versão 142.0.7556.x.

Como o ataque funciona na prática

O V8 é o motor que interpreta e executa JavaScript no Google Chrome. Na CVE-2026-11645, uma falha de type-confusion faz com que o motor trate um objeto de um tipo como se fosse de outro, provocando acesso a regiões de memória fora dos limites permitidos. Esse acesso indevido abre caminho para execução de código arbitrário dentro do contexto do navegador. O atacante precisa apenas hospedar a página maliciosa e atrair a vítima até ela — por phishing, anúncio comprometido ou link em redes sociais.

Comportamentos suspeitos que merecem atenção

A exploração desta falha raramente exibe avisos visíveis, mas alguns comportamentos podem indicar comprometimento ou tentativa de ataque. Fique atento a:

• Fechamento repentino e inesperado do Google Chrome
• Redirecionamentos para páginas desconhecidas sem ação do usuário
• Travamentos frequentes ao carregar páginas específicas

Se qualquer um desses sinais aparecer antes da atualização ser aplicada, priorize o patch e considere uma varredura de malware no sistema afetado.

Atualize o Google Chrome agora — versão 142.0.7556.x ou superior

Para corrigir a CVE-2026-11645, atualize o Google Chrome para a versão 142.0.7556.x ou superior. Usuários de Microsoft Edge e Brave — ambos baseados no Chromium — devem verificar e aplicar as atualizações disponíveis nos respectivos canais de atualização. Ambientes corporativos devem acionar políticas de atualização forçada via GPO ou MDM para reduzir a janela de exposição ao mínimo possível.

Checklist prático

1. Abra o Google Chrome, clique em Mais > Ajuda > Sobre o Google Chrome
2. Aguarde a verificação automática e instale a versão 142.0.7556.x ou superior
3. Reinicie o navegador para aplicar a atualização

Perguntas frequentes

O que é uma vulnerabilidade zero-day?

É uma falha de segurança explorada ativamente antes que o desenvolvedor responsável tenha disponibilizado uma correção — ou, como no caso da CVE-2026-11645, explorada no mesmo período em que o patch é liberado, exigindo ação imediata dos usuários.

Como verifico se o Google Chrome está atualizado?

Acesse o menu de três pontos no canto superior direito do Google Chrome, clique em Ajuda e depois em Sobre o Google Chrome. A versão atual é exibida ali, e qualquer atualização pendente é instalada automaticamente nessa tela.

O que fazer se o navegador estiver se comportando de forma estranha?

Aplique a atualização do Google Chrome imediatamente e execute uma varredura de malware no sistema. Se o comportamento persistir após o patch, isole a máquina e acione sua equipe de segurança.

Conheça: Cofre Corporativo de MFA, Gestão de Acesso, Autenticação Forte. mfa2go.com

Fontes:
https://thehackernews.com/2026/06/chrome-v8-zero-day-cve-2026-11645.html