.png)
há 2 semanas
11
Um zero-day crítico foi identificado no motor V8 do Google Chrome, rastreado como CVE-2025-10585. A falha, classificada com gravidade alta e pontuação CVSS 3.1 de 8.8, permite execução remota de código por meio de corrupção de memória, superando as proteções de sandbox do navegador. Trata-se do sexto zero-day ativamente explorado no Chrome em 2025.
Leia também
GitHub libera campanhas de segurança
Cibercrime busca especialistas em IA e deep fake
O problema decorre de uma vulnerabilidade de type confusion no compilador TurboFan, em que objetos Proxy manipulam inferências de tipo do V8. Com isso, atacantes podem criar cadeias de exploração avançadas baseadas em primitivos como addrof e fakeobj, chegando a construir técnicas de return-oriented programming (ROP). Essa falha possibilita a execução de shellcode arbitrário e a fuga do processo de renderização do Chrome.
Relatórios apontam que a vulnerabilidade está sendo usada em campanhas de espionagem e ataques contra carteiras de criptomoedas. Usuários que visitam sites maliciosos podem ser comprometidos sem interação adicional, cenário que amplia o risco de exploração em larga escala. Grupos de ciberespionagem e fornecedores de spyware comercial estão entre os atores que exploram ativamente a falha.
A vulnerabilidade afeta todas as versões do Chrome anteriores à 140.0.7339.185 em Windows, macOS e Linux, bem como navegadores baseados no Chromium, como Edge, Brave e Opera. Organizações de segurança já confirmaram casos de roubo de chaves privadas e drenagem de carteiras digitais vinculadas a grupos criminosos.
O Google publicou correções emergenciais e distribuiu atualizações automáticas para as versões suportadas. Especialistas recomendam monitorar tráfego suspeito relacionado a exploração de type confusion e reforçar medidas como whitelisting de aplicações para reduzir a superfície de ataque.
English (US) · 
Portuguese (BR) ·