Uma exploração de prova de conceito para uma vulnerabilidade do dia zero do Google Chrome de alta severidade foi publicada publicamente, menos de três meses após a divulgação da falha, em meio a relatos de exploração ativa no wild.
A vulnerabilidade, rastreada como CVE-2025-5419, decorre de leituras e gravações fora dos limites no V8 do Chrome JavaScript Motor, afetando as versões antes de 137.0.7151.68 e abrindo a porta para possíveis ataques de corrupção de heap através de páginas HTML criadas.
Os pesquisadores de segurança documentaram a CVE-2025-5419 pela primeira vez no início de junho, quando o banco de dados nacional de vulnerabilidades (NVD) publicou detalhes em 3 de junho e o banco de dados consultivo do GitHub refletiu o aviso no mesmo dia.
A equipe de segurança do Chrome classificou a falha como severidade “alta” sob a classificação interna do Chromium. O Google lançou uma atualização intermediária de canal estável em 24 de junho, mas ainda não divulgou quais versões precisas contêm a correção, nem o patch público foi esmagado em uma linha do tempo oficial de liberação do Chrome.
No sistema de pontuação CVSS v3.1, o CVE-2025-5419 recebe uma pontuação básica de 7,5/10. O vetor de ataque é baseado em rede, não exigindo privilégios do invasor, mas necessitando de algum nível de interação do usuário-convencendo normalmente um alvo a visitar uma página da Web maliciosa.
A baixa complexidade do ataque da falha e os privilégios necessários o tornam particularmente atraente para os atacantes. A exploração pode levar a um compromisso completo do processo do navegador, ameaçando a confidencialidade, a integridade e a disponibilidade dos dados do usuário.
Documentação sobre Github mostra que a vulnerabilidade envolve duas enumerações específicas de fraqueza comum-CWE-125 (leitura fora dos limites) e CWE-787 (escrita fora dos limites)-ambos os quais facilitam a corrupção da pilha.
Quando explorados, os atacantes podem executar o código arbitrário sob os privilégios do processo comprometido do Chrome, potencialmente girando para hospedar escalações ou mecanismos de persistência.
A urgência em torno da CVE-2025-5419 se intensificou quando a empresa de inteligência de segurança Mistymntncop publicou uma exploração POC em funcionamento no GitHub, juntamente com as instruções passo a passo para desencadear a vulnerabilidade.
A exploração demonstra como pequenas modificações em uma página benigna HTML podem desencadear padrões de corrupção de memória em V8, levando a Execução de código arbitrário. A disponibilidade pública do POC significa que qualquer ator curioso pode reproduzir, adaptar e armar a falha.
O Centro de Resposta de Segurança da Microsoft também cataloga CVE-2025-5419 em seu guia de vulnerabilidades, alertando os administradores corporativos de que os dispositivos Windows executando o Chrome permanecem em risco até que corram totalmente.
Apesar da publicação de conselhos de mitigação, não há solução alternativa oficial além de desativar o JavaScript ou usar os sinalizadores aprimorados de sandbox do Chrome, os quais degradam significativamente a funcionalidade do navegador.
O Google ainda não nomeou uma versão precisa do patch, deixando as organizações lutando para determinar se seus ambientes estão protegidos.
Os administradores devem implantar atualizações do Chrome assim que novas versões estáveis estiverem disponíveis, monitore o tráfego de rede para cargas úteis HTML anômalas e considere o uso de soluções de isolamento do navegador para limitar a exposição.
Até que uma versão oficial do patch seja documentada, a vigilância e a resposta rápida continuam sendo as principais defesas contra esse perigoso dia zero.
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!