O Google lançou uma atualização de segurança urgente para o Chrome Stable Channel para abordar a vulnerabilidade acríticos-use-depois da biblioteca de gráficos Angle que poderia permitir que os invasores executem código arbitrário em sistemas vulneráveis.
As correções chegam como parte das versões estáveis do Chrome139.0.7258.154/.155on Windows e MacOS, e139.0.7258.154on Linux. Os usuários são aconselhados a atualizar imediatamente, pois o patch será lançado automaticamente nos próximos dias e semanas.
Antecedentes e impacto
A falha, rastreada ascve-2025-9478, foi descoberto pela equipe do Google Big Sleep em 11 de agosto de 2025. Ele reside no componente ângulo, que traduz chamadas de chamadas de gráficos nativas para o OpenGL para várias plataformas.
Um site malicioso que explora essa vulnerabilidade pode desencadear uma condição de uso e livre, em que a memória é reutilizada após ser libertada.
Ao elaborar cuidadosamente as operações WebGL ou Canvas, um invasor pode corromper a memória do navegador e a execução do código do navegador com os privilégios do usuário atual.
| Cve id | Gravidade | Descrição | Data relatada |
| CVE-2025-9478 | Crítico | Uso-Após o Free, levando ao executivo de código | 2025-08-11 |
Dado o papel central de Angle no pipeline de renderização do Chrome em plataformas de mesa e móveis, a exploração pode ser roteirizada em um cenário de download drive-a: uma vítima simplesmente precisa visitar uma página da web comprometida ou maliciosamente criada.
A exploração bem-sucedida pode permitir que os invasores instalem malware, roubam dados ou se aprofundem em uma rede corporativa, tornando essa falha especialmente perigosa para metas de alto valor e usuários corporativos.
Mitigação e recomendações
A equipe de segurança do Google já implantou a correção nas últimas compilações estáveis. Os administradores que gerenciam grandes implantações devem garantir que a versão139.0.7258.154/.155is fosse pressionada sem demora.
Para organizações com procedimentos rígidos de gerenciamento de mudanças, o pacote corporativo do Chrome e os instaladores do MSI estão disponíveis para facilitar os lançamentos offline ou encenados.
Além de atualizar o Chrome, as equipes de segurança devem:
- Monitore os logs de proxy e endpoint para obter os padrões incomuns de chamadas da API WebGL ou gráficos.
- Aplicar o princípio do menos privilégio de limitar o impacto de um comprometimento navegador processo.
- Eduque os usuários sobre os perigos de visitar sites não confiáveis, especialmente aqueles que hospedam conteúdo da WebGL.
O Google continua a apoiar a descoberta colaborativa, oferecendo recompensas por bugs relatados externamente.
Embora os detalhes do CVE-2025-9478 permaneçam restritos até que a maioria dos usuários receba a correção, o reconhecimento do pesquisador externo ressalta o valor das parcerias públicas-privadas na garantia de projetos de código aberto.
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!