O Google publicou uma atualização para o navegador Chrome a fim de corrigir três vulnerabilidades, entre elas a CVE-2025-5419, um dia zero que já estaria sendo explorado em ambiente real. O problema foi identificado como uma falha de leitura e gravação fora dos limites no motor JavaScript V8.
Leia também
O Lumma stealer está ressuscitando
Plataforma de teste de malware derrubada em ação policial
De acordo com o Google, o exploit relacionado ao CVE-2025-5419 pode ter sido utilizado por fornecedores comerciais de spyware. A falha foi descoberta pelos pesquisadores Clément Lecigne e Benoît Sevens, do grupo Google Threat Analysis Group (TAG), que já relataram outras falhas exploradas por softwares de vigilância.
Segundo o NIST, a vulnerabilidade permite que uma página HTML especialmente criada explore uma corrupção de heap, o que pode levar à execução arbitrária de código. A empresa não forneceu mais detalhes técnicos sobre o bug ou sobre o exploit.
Além da falha crítica, o Google também corrigiu a CVE-2025-5068, um problema de média gravidade relacionado ao uso após liberação no Blink. O pesquisador responsável recebeu uma recompensa de US$ 1.000. A falha CVE-2025-5419, por sua vez, não será premiada com recompensa.
A versão 137.0.7151.68/.69 do Chrome já está disponível para Windows e macOS, e como versão 137.0.7151.68 para Linux. Essa atualização sucede uma falha anterior (CVE-2025-2783), também usada em ataques e corrigida em março após ser atribuída a um grupo patrocinado pelo governo russo.