A empresa publicou ontem a versão estável 149.0.7827.102/103 para Windows, macOS e Linux, corrigindo 74 vulnerabilidades no navegador. Uma delas, a CVE-2026-11645 (CVSS de 8.8), já possui código malicioso funcional sendo utilizado por atacantes em ambiente real, conforme confirmou a Google.
Falha na engine V8 permite execução de código fora da memória permitida
O problema principal está relacionado à vulnerabilidade CVE-2026-11645 na engine V8, responsável pela execução de JavaScript. O erro permite ultrapassar a área de memória permitida, possibilitando que invasores executem código arbitrário. A Google atribuiu à falha um nível alto de gravidade e confirmou a existência de exploração ativa.
Por descobrir a vulnerabilidade, o especialista pseudônimo 303f06e3 recebeu uma recompensa de US$ 55.000. A empresa ainda não está divulgando detalhes técnicos para não facilitar novos ataques até que a maioria dos usuários instale a correção.
Correções incluem 17 vulnerabilidades críticas
A versão mais recente do Chrome também corrige 17 falhas classificadas como críticas, a maioria relacionada a acesso de código a memória já liberada (use-after-free). Esses erros foram encontrados nos componentes: Ozone, File Input, Aura, TabStrip, Bluetooth, Gamepad, Autofill, Views, Printing, Compositing, Web Apps e Proxy. Outra vulnerabilidade crítica diz respeito a um estouro de inteiro na biblioteca libyuv.
Além disso, a Google corrigiu dezenas de vulnerabilidades de alta gravidade em componentes como V8, network, extensions, service workers, media processing, PDF, GPU, WebRTC, Skia, Dawn, gerenciador de senhas, nova aba, modo convidado, frontend e outras partes do navegador.
Atualização será distribuída gradualmente
A atualização será implementada gradualmente nos próximos dias e semanas. O Chrome normalmente instala novas versões automaticamente, mas o usuário pode verificar manualmente por meio da seção “Sobre o Google Chrome” nas configurações. Após o download da atualização, o navegador precisa ser reiniciado.
A empresa recomenda que os usuários não adiem a instalação da correção.
