O Google disponibilizou nesta quinta-feira a atualização do Chrome 149, que corrige 28 vulnerabilidades de gravidade crítica e alta.
A atualização corrige cinco falhas de gravidade crítica: bugs de uso após liberação (use-after-free) no Core, no DigitalCredentials e no WebMIDI, uma falha de validação insuficiente de entrada não confiável (insufficient validation of untrusted input) na Acessibilidade e um defeito de estouro de buffer de heap (heap buffer overflow) na GPU.
As 23 vulnerabilidades restantes são de alta gravidade: nove de uso após liberação, quatro de validação insuficiente de entrada não confiável, três de implementação inadequada, duas de aplicação insuficiente de política, duas de leitura fora dos limites (out-of-bounds read), uma de escrita fora dos limites (out-of-bounds write), uma condição de corrida (race condition) e um estouro de buffer de heap.
Uma dúzia delas, incluindo três defeitos críticos e nove de alta gravidade, são problemas de uso após liberação, um tipo de falha de segurança de memória que pode ser explorado para execução remota de código (RCE, do inglês Remote Code Execution), corrupção de dados ou negação de serviço (do inglês denial-of-service).
No Chrome, as vulnerabilidades de uso após liberação podem ser exploradas para escapar do sandbox (sandbox escape), se combinadas com falhas de segurança no sistema operacional ou em uma parte privilegiada do navegador.
O Google vem combatendo os bugs de uso após liberação no Chrome há anos: introduziu o MiraclePtr em 2022 para tornar sua exploração mais difícil e está migrando as bases de código do Chrome para a linguagem Rust a fim de eliminar completamente esse tipo de falha de segurança.
O número de falhas de uso após liberação corrigidas no Chrome tem aumentado nos últimos meses, em meio a um surto de vulnerabilidades descobertas no navegador, provavelmente impulsionado pelo uso de inteligência artificial.
Desde o início do ano, o Google corrigiu mais de 700 bugs no Chrome, mais de cinco vezes o total resolvido em 2025. Cinco deles foram explorados como zero-days.
A versão mais recente do Chrome 149 segue a tendência: 27 dos defeitos de segurança corrigidos estão marcados como "reportados pelo Google" e apenas um como reportado por um pesquisador independente.
O Google não menciona nenhuma dessas vulnerabilidades sendo explorada em ataques reais.
A atualização mais recente do Chrome está sendo distribuída nas versões 149.0.7827.114/.115 para Windows e macOS, e na versão 149.0.7827.114 para Linux.
