O Google anunciou na segunda-feira uma atualização do Chrome 149 que corrige 74 vulnerabilidades, incluindo um zero-day que tem sido explorado em ataques reais.
A vulnerabilidade explorada é rastreada como CVE-2026-11645 (Vulnerabilidades e Exposições Comuns). Ela foi descrita como um problema de leitura e escrita fora dos limites de alta severidade no V8 (motor JavaScript do Chrome), permitindo que um atacante remoto execute código arbitrário dentro de um sandbox usando uma página HTML (Linguagem de Marcação de Hipertexto) especialmente elaborada.
Não há informações disponíveis sobre os ataques que exploram a CVE-2026-11645, mas agentes maliciosos provavelmente a encadearam com uma falha de escape do sandbox.
De acordo com o alerta do Google, o zero-day foi relatado à empresa no final de abril por um pesquisador anônimo. Com base no identificador '303f06e3' atribuído pelo Google, o mesmo especialista já havia relatado outras vulnerabilidades do Chrome anteriormente.
O pesquisador recebeu US$ 55 mil pela divulgação responsável da CVE-2026-11645.
Cinco zero-days em 2026
Este é o quinto zero-day do Chrome a ser explorado em 2026. Os outros são CVE-2026-2441, CVE-2026-3909, CVE-2026-3910 e CVE-2026-5281.
IA impulsiona descoberta de falhas
O número de vulnerabilidades encontradas pelo próprio Google no Chrome disparou, com centenas de falhas descobertas nos últimos meses. O aumento foi muito provavelmente impulsionado pela IA (Inteligência Artificial), mas a gigante da tecnologia ainda não divulgou quais modelos ou ferramentas foram utilizados.
A grande maioria das falhas corrigidas na versão mais recente do Chrome — a maioria classificada como crítica e de alta severidade — foi encontrada pelo Google.
A empresa reduziu recentemente os valores base das recompensas por bugs no Chrome por causa da IA.
