Google lança atualização crítica do Chrome para corrigir falha Zero-Day CVE-2025-6558

O Google liberou na terça-feira um pacote de correções para seis vulnerabilidades de segurança em seu navegador Chrome, incluindo uma falha de alta gravidade que, segundo a empresa, está sendo exploitada ativamente na internet. A vulnerabilidade em questão, identificada como CVE-2025-6558 (com pontuação CVSS de 8.8), é descrita como uma validação incorreta de entrada não confiável nos componentes ANGLE e GPU do navegador.

De acordo com a descrição da falha no National Vulnerability Database (NVD) do NIST, "a validação insuficiente de entrada não confiável no ANGLE e GPU no Google Chrome, anterior à versão 138.0.7204.157, permitiu que um invasor remoto potencialmente realizasse um escape de sandbox por meio de uma página HTML criada com fins maliciosos."

ANGLE, sigla para "Almost Native Graphics Layer Engine", atua como uma camada de tradução entre o motor de renderização do Chrome e os drivers gráficos específicos do dispositivo. Vulnerabilidades neste módulo podem permitir que hackers escapem do sandbox do Chrome ao abusar de operações de GPU de baixo nível que os navegadores geralmente mantêm isoladas, tornando esta uma rota rara, mas poderosa, para obter acesso mais profundo ao sistema.

Para a maioria dos usuários, um escape de sandbox como este significa que apenas visitar um site malicioso é suficiente para potencialmente romper a bolha de segurança do navegador e interagir com o sistema subjacente. Isso é especialmente crítico em ataques direcionados, onde simplesmente abrir uma página da web pode desencadear uma comprometimento silencioso, sem exigir nenhum download ou clique.

A vulnerabilidade zero-day foi descoberta e relatada em 23 de junho de 2025 por Clément Lecigne e Vlad Stolyarov, membros do Grupo de Análise de Ameaças (TAG) do Google. Embora a natureza exata dos ataques que exploram a falha não tenha sido divulgada, o Google confirmou que um "exploit para CVE-2025-6558 existe e está ativo."

A descoberta pela TAG, conhecida por rastrear hackers apoiados por Estados, sugere a possibilidade de envolvimento de nações em ataques que utilizam esta falha.

Este desenvolvimento ocorre cerca de duas semanas após o Google ter corrigido outra vulnerabilidade zero-day do Chrome ativamente explorada (CVE-2025-6554, pontuação CVSS: 8.1), que também foi relatada por Lecigne em 25 de junho de 2025.

Desde o início do ano, o Google já resolveu um total de cinco vulnerabilidades zero-day no Chrome que foram ativamente exploradas ou demonstradas como prova de conceito (PoC). Isso inclui as CVE-2025-2783, CVE-2025-4664, CVE-2025-5419 e CVE-2025-6554.

Para se proteger contra potenciais ameaças, é crucial que os usuários atualizem seus navegadores Chrome para as versões 138.0.7204.157/.158 para Windows e Apple macOS, e 138.0.7204.157 para Linux. Para garantir que as atualizações mais recentes estejam instaladas, os usuários podem navegar até "Mais" (os três pontos verticais no canto superior direito), depois em "Ajuda" e, em seguida, "Sobre o Google Chrome".

Usuários de outros navegadores baseados no Chromium, como Microsoft Edge, Brave, Opera e Vivaldi, também são aconselhados a aplicar as correções assim que elas forem disponibilizadas por seus respectivos desenvolvedores.

Problemas como este frequentemente se enquadram em categorias mais amplas, como escapes de sandbox da GPU, bugs relacionados a shaders ou vulnerabilidades do WebGL.

Embora nem sempre ganhem as manchetes, eles tendem a ressurgir em exploits em cadeia ou ataques direcionados.

Para quem acompanha as atualizações de segurança do Chrome, vale a pena ficar atento a falhas em drivers gráficos, bypasses de limites de privilégio e corrupção de memória em caminhos de renderização, pois esses frequentemente apontam para a próxima rodada de bugs que exigirão patches.

Via - THN