O Google lançou uma atualização de segurança de emergência para corrigir a terceira vulnerabilidade de dia zero do Chrome explorada em ataques desde o início do ano.
“O Google está ciente de que existe um exploit para o CVE-2025-5419”, alertou a empresa em um comunicado de segurança publicado na segunda-feira.
O Google diz que o problema foi mitigado um dia depois por uma mudança de configuração que a empresa enviou ao canal Stable em todas as plataformas Chrome.
Na segunda-feira, a empresa também corrigiu o dia zero com o lançamento de 137.0.7151.68/.69 para Windows/Mac e 137.0.7151.68 para Linux, versões que serão disponibilizadas aos usuários no canal Stable Desktop nas próximas semanas.
Embora o Chrome seja atualizado automaticamente quando novos patches de segurança estiverem disponíveis, os usuários podem acelerar o processo acessando o menu Chrome > Ajuda > Sobre o Google Chrome, deixando a atualização terminar e clicando no botão “Reiniciar” para instalá-lo imediatamente.
Essa vulnerabilidade de alta gravidade é causada por uma fraqueza de leitura e gravação fora dos limites no mecanismo JavaScript V8 do Chrome, relatada há uma semana por Clement Lecigne e Benoît Sevens do Grupo de Análise de Ameaças do Google.
Embora o Google já tenha confirmado que o CVE-2025-5419 está sendo explorado, a empresa não compartilhará informações adicionais sobre esses ataques até que mais usuários tenham corrigido seus navegadores.
“O acesso a detalhes e links do bug poderá ser mantido restrito até que a maioria dos usuários receba uma correção”, afirmou o Google. “Também manteremos as restrições caso o bug exista em uma biblioteca de terceiros da qual outros projetos dependem, mas ainda não foram corrigidos.”
Esta é a terceira vulnerabilidade de dia zero do Chrome do Google desde o início do ano, com mais duas corrigidas em março e maio.
A primeira, uma falha de escape de sandbox de alta gravidade (CVE-2025-2783) descoberta por Boris Larin e Igor Kuznetsov, da Kaspersky, foi usada para implantar malware em ataques de espionagem direcionados a organizações governamentais e veículos de comunicação russos.
A empresa lançou outro conjunto de atualizações de segurança de emergência em maio para corrigir um problema de dia zero no Chrome que poderia permitir que invasores assumissem o controle de contas após uma exploração bem-sucedida.
No ano passado, o Google corrigiu 10 ataques de dia zero que foram demonstrados durante a competição de hackers Pwn2Own ou explorados em ataques.
