O Google lançou nesta semana uma atualização para o Chrome 148 que corrige 79 vulnerabilidades, sendo 14 delas classificadas como críticas. O Firefox também recebeu uma atualização de segurança, a versão 150.0.3, que resolve cinco falhas de alta gravidade. Nenhum dos dois casos possuem registros de exploração ativa.
A vulnerabilidade mais grave do Chrome é identificada como CVE-2026-8509. Ela é um heap buffer overflow, ou seja, uma falha que permite gravar dados além dos limites de uma área de memória reservada. Isso ocorre no componente WebML, responsável por executar modelos de machine learning diretamente no navegador. O pesquisador que a descobriu recebeu US$ 43 mil de recompensa.
Falhas críticas no Chrome envolvem componentes sensíveis do navegador
A segunda falha crítica paga é a CVE-2026-8510, um integer overflow no Skia, que é a biblioteca de gráficos usada pelo Chrome para renderizar imagens, textos e interfaces. Esse tipo de falha ocorre quando uma operação matemática produz um número maior do que o sistema consegue armazenar, causando comportamentos inesperados. O Google pagou US$ 25 mil pela descoberta.
As outras 12 vulnerabilidades críticas foram encontradas pela própria equipe de segurança do Google. Entre elas estão oito falhas do tipo use-after-free, que acontecem quando um programa continua usando uma área de memória depois de já tê-la liberado. Isso ocorria em componentes como UI, FileSystem, Input, Aura, HID, Blink, Tab Groups e Downloads.
Também foram corrigidas uma falha de validação insuficiente no DataTransfer, um problema no ciclo de vida de objetos no WebShare, um integer overflow no ANGLE e uma condição de corrida no módulo de Payments. Condições de corrida ocorrem quando dois processos tentam acessar o mesmo recurso ao mesmo tempo, gerando comportamentos imprevisíveis.
37 falhas de alta gravidade também foram resolvidas
Além das críticas, a atualização corrige 37 vulnerabilidades classificadas como de alta gravidade. O conjunto inclui falhas dos tipos use-after-free, out-of-bounds write, heap buffer overflow, integer overflow, type confusion e insufficient policy enforcement em diferentes partes do navegador.
O Google pagou US$ 44 mil em recompensas por quatro dessas falhas. As duas maiores foram de US$ 25 mil e US$ 10 mil. O valor total ainda pode aumentar, já que o Google não divulgou os montantes de algumas outras descobertas.
A nova versão do Chrome está sendo distribuída gradualmente como 148.0.7778.167 para Linux e como 148.0.7778.167/168 para Windows e macOS.
Firefox corrige cinco falhas no motor JavaScript e em WebAssembly
O Firefox 150.0.3 resolve cinco vulnerabilidades de alta gravidade. Quatro delas estão no motor JavaScript do navegador, afetando os componentes JIT, que compila código em tempo real para acelerar a execução, e o motor JavaScript em geral.
A quinta falha, identificada como CVE-2026-8401, é uma sandbox escape no componente de backup de perfis. Uma sandbox é um ambiente isolado que impede que código malicioso afete o restante do sistema. Uma falha desse tipo permite que um atacante escape desse isolamento e acesse outras partes do dispositivo.
Uma das falhas do Firefox, a CVE-2026-8390, foi reportada pela equipe OpenAI Preparedness em conjunto com o pesquisador Bill Demirkapi. As demais foram descobertas pelo mesmo pesquisador, identificado como ggwhyp.
O Google e a Mozilla não relataram exploração ativa de nenhuma das falhas corrigidas nestas atualizações.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.