O Google lançou atualizações de emergência para corrigir outra vulnerabilidade de dia zero do Chrome explorada em ataques, marcando a quarta falha desse tipo corrigida desde o início do ano.
“O Google está ciente da existência de um exploit para o CVE-2025-6554”, afirmou o fornecedor do navegador em um comunicado de segurança divulgado na segunda-feira. “Este problema foi mitigado em 26/06/2025 por uma alteração de configuração implementada no canal Stable em todas as plataformas.”
A empresa corrigiu o problema de dia zero para usuários no canal Stable Desktop, com novas versões sendo lançadas mundialmente para usuários do Windows (138.0.7204.96/.97), Mac (138.0.7204.92/.93) e Linux (138.0.7204.96) um dia após o problema ter sido relatado ao Google.
O bug foi descoberto por Clément Lecigne, do Grupo de Análise de Ameaças (TAG) do Google, um coletivo de pesquisadores de segurança focados em defender os clientes do Google de ataques patrocinados por estados e outros ataques semelhantes.
O Google TAG frequentemente descobre exploits de dia zero implantados por agentes de ameaças patrocinados pelo governo em ataques direcionados para infectar indivíduos de alto risco, incluindo políticos da oposição, dissidentes e jornalistas, com spyware.
Embora as atualizações de segurança que corrigem o CVE-2025-6554 possam levar dias ou semanas para chegar a todos os usuários, de acordo com o Google, elas ficaram imediatamente disponíveis quando o BleepingComputer verificou se havia atualizações hoje mais cedo.
Usuários que preferem não atualizar manualmente também podem contar com o navegador da web para verificar automaticamente se há novas atualizações e instalá-las após a próxima inicialização.
O bug de dia zero corrigido hoje é uma vulnerabilidade de confusão de alta gravidade no mecanismo JavaScript do Chrome V8. Embora essas falhas geralmente causem travamentos do navegador após exploração bem-sucedida, lendo ou gravando memória fora dos limites do buffer, invasores também podem explorá-las para executar código arbitrário em dispositivos sem patches.
Embora o Google tenha declarado que essa vulnerabilidade foi explorada, a empresa ainda não compartilhou detalhes técnicos ou informações adicionais sobre esses ataques.
“O acesso aos detalhes e links do bug poderá ser mantido restrito até que a maioria dos usuários receba uma correção. Também manteremos as restrições caso o bug exista em uma biblioteca de terceiros da qual outros projetos dependam, mas que ainda não foram corrigidos”, afirmou o Google.
Esta é a quarta correção de dia zero do Google Chrome explorada ativamente desde o início do ano, com mais três corrigidas em março, maio e junho.
A primeira, uma falha de escape de sandbox de alta gravidade (CVE-2025-2783) relatada por Boris Larin e Igor Kuznetsov da Kaspersky, foi usada em ataques de espionagem direcionados a organizações governamentais e veículos de mídia russos com malware.
O Google lançou outro conjunto de atualizações de segurança emergenciais em maio para lidar com um problema de dia zero no Chrome (CVE-2025-4664) que pode permitir que invasores sequestrem contas . Um mês depois, a empresa corrigiu uma vulnerabilidade de leitura e gravação fora dos limites no mecanismo JavaScript V8 do Chrome, descoberta por Benoît Sevens e Clément Lecigne, do Google TAG.
Em 2024, o Google corrigiu um total de 10 vulnerabilidades de dia zero que foram exploradas em ataques ou demonstradas durante competições de hackers Pwn2Own.
