O Google lançou atualizações de segurança para corrigir 74 vulnerabilidades, incluindo uma que está sendo explorada ativamente na prática.
A vulnerabilidade de alta severidade, identificada como CVE-2026-11645 (Vulnerabilidades e Exposições Comuns), com pontuação CVSS (Sistema de Pontuação de Vulnerabilidades Comuns) de 8,8, foi descrita como um acesso de memória fora dos limites no V8, o mecanismo de JavaScript e WebAssembly do Chrome.
"Leitura e escrita fora dos limites no V8 do Google Chrome em versões anteriores à 149.0.7827.103 permitiram que um atacante remoto executasse código arbitrário dentro de uma sandbox por meio de uma página HTML (Linguagem de Marcação de Hipertexto) maliciosamente criada", diz a descrição da falha no NVD (Banco de Dados Nacional de Vulnerabilidades) do NIST (Instituto Nacional de Padrões e Tecnologia dos EUA).
Um pesquisador de segurança identificado como "303f06e3" foi creditado por descobrir e reportar a falha em 27 de abril de 2026. O pesquisador recebeu uma recompensa (bug bounty) de US$ 55 mil pela divulgação responsável.
Como é de costume nesses casos, o Google reconheceu que um "exploit para a CVE-2026-11645 existe na prática", mas não compartilhou detalhes adicionais para garantir que a maioria dos usuários receba a correção e evitar novas explorações.
Com essa atualização, o Google já corrigiu um total de cinco zero-days do Chrome explorados ativamente desde o início do ano. Isso inclui CVE-2026-2441, CVE-2026-3909, CVE-2026-3910 e CVE-2026-5281.
Para uma proteção ideal, os usuários são aconselhados a atualizar o navegador Chrome para as versões 149.0.7827.102/.103 no Windows e no macOS, e 149.0.7827.102 no Linux. Para conferir se as atualizações mais recentes estão instaladas, basta acessar Mais > Ajuda > Sobre o Google Chrome e selecionar Reiniciar.
Usuários de outros navegadores baseados no Chromium, como Microsoft Edge, Brave, Opera e Vivaldi, também são orientados a aplicar as correções assim que estiverem disponíveis.
