Vulnerabilidade Zero-Day (CVE-2025-6554) no Chrome permite ataque de RCE

O Google, gigante da tecnologia mundial, lançou recentemente uma série de atualizações de segurança cruciais para o seu navegador Chrome, visando corrigir uma vulnerabilidade de dia zero que já está sendo ativamente explorada por hackers. Esta falha crítica, rastreada como CVE-2025-6554, foi identificada como uma confusão de tipos no motor V8 JavaScript e WebAssembly, o coração do processamento de código do navegador.

De acordo com a descrição do bug no Banco de Dados Nacional de Vulnerabilidades (NVD) do NIST, "Confusão de tipos no V8 do Google Chrome anterior a 138.0.7204.96 permitiu que um invasor remoto realizasse leitura/escrita arbitrária por meio de uma página HTML criada".

As vulnerabilidades de confusão de tipos são particularmente perigosas, pois podem ser exploradas para induzir comportamentos inesperados no software, culminando na execução de código arbitrário, travamentos do programa ou, em cenários mais graves, a completa tomada de controle do sistema.

Bugs de dia zero como este representam um risco elevado, uma vez que são frequentemente utilizados por hackers antes mesmo que uma correção oficial esteja disponível. Em ataques reais, essas falhas podem permitir que invasores instalem spyware, iniciem downloads drive-by (transferências automáticas e maliciosas sem o consentimento do usuário) ou executem silenciosamente códigos maliciosos — por vezes, basta que a vítima acesse uma página HTML especialmente criada.

A descoberta e o relatório da falha foram creditados a Clément Lecigne, membro do renomado Grupo de Análise de Ameaças (TAG) do Google, em 25 de junho de 2025. A participação do TAG, conhecido por detectar e investigar ameaças graves, incluindo ataques apoiados por governos, sinaliza que esta vulnerabilidade pode ter sido utilizada em ataques altamente direcionados, possivelmente por grupos hackers com motivações estatais ou em operações de vigilância sofisticadas.

Apesar da gravidade, o Google agiu rapidamente, observando que o problema foi mitigado já no dia seguinte à sua descoberta, por meio de uma alteração de configuração que foi enviada para o canal Stable em todas as plataformas.

Para usuários comuns, isso sugere que a ameaça pode não estar amplamente disseminada, mas a urgência de aplicar a correção permanece, especialmente para aqueles que lidam com dados confidenciais ou de alto valor. Embora o Google não tenha divulgado detalhes adicionais sobre a vulnerabilidade ou sobre quem a explorou, a empresa confirmou a existência de um exploit ativo para a CVE-2025-6554.

Esta é a quarta vulnerabilidade de dia zero no Chrome a ser corrigida pelo Google somente neste ano, seguindo as CVE-2025-2783, CVE-2025-4664 e CVE-2025-5419. No entanto, vale ressaltar que não há clareza pública sobre se a CVE-2025-4664 foi de fato explorada em um contexto malicioso.

Para se proteger contra essas ameaças contínuas, é fundamental que os usuários atualizem seus navegadores Chrome para as versões mais recentes: 138.0.7204.96/.97 para Windows, 138.0.7204.92/.93 para macOS e 138.0.7204.96 para Linux.

Verificar e aplicar a atualização é um processo simples: basta acessar Configurações > Ajuda > Sobre o Google Chrome no navegador, e a atualização mais recente será acionada automaticamente. Para empresas e equipes de TI que gerenciam múltiplos endpoints, a implementação de gerenciamento automático de patches e o monitoramento rigoroso da conformidade com a versão do navegador são medidas de segurança indispensáveis.

Usuários de outros navegadores baseados no Chromium, como Microsoft Edge, Brave, Opera e Vivaldi, também são fortemente aconselhados a aplicar as correções assim que estiverem disponíveis em suas respectivas plataformas.

Via - THN