CIBERSEGURANÇA

Atualizações do Firefox, Chrome, Adobe e VMware corrigem diversas falhas críticas de segurança

Mozilla, Google, Adobe e Broadcom divulgam correções para falhas graves em seus produtos. Mozilla alerta que código de exploit de duas vulnerabilidades no Firefox já está disponível publicamente.


Ravie Lakshmanan Sexta - 17 de Julho de 2026 às 01:57
The Hacker News

A Mozilla divulgou atualizações para corrigir duas falhas críticas no Firefox, alertando que código de exploit (exploração de vulnerabilidade) já foi publicado. As vulnerabilidades estão listadas abaixo:

  • CVE-2026-15718 (Vulnerabilidades e Exposições Comuns, na sigla em inglês): um ponteiro inválido no componente JavaScript: WebAssembly (montagem web).
  • CVE-2026-15719: uma falha de isolamento de site no componente DOM (Modelo de Objeto de Documento): Navigation (Navegação).

"Estamos cientes de que o código de exploit para esta falha é público, porém não temos conhecimento de ataques na prática abusando desta vulnerabilidade", afirmou a Mozilla em um comunicado. Ambas as vulnerabilidades foram corrigidas na versão 152.0.6 do Firefox.

Google Chrome

A divulgação ocorre enquanto o Google disponibiliza correções para 15 falhas de segurança, incluindo dois bugs críticos de uso após liberação (use-after-free) no Ozone (CVE-2026-15764 e CVE-2026-15765), uma camada de abstração multiplataforma que permite ao navegador interagir nativamente com diversos servidores de exibição e sistemas de janelas. O componente oferece suporte a Linux, ChromeOS e Fuchsia.

"Uso após liberação no Ozone no Google Chrome em Linux anterior à versão 150.0.7871.125 permitiu que um atacante remoto, que convenceu um usuário a realizar gestos específicos na interface do usuário, potencialmente explorasse a corrupção de heap (memória dinâmica) por meio de uma página HTML (Linguagem de Marcação de Hipertexto) elaborada", segundo a descrição do CVE-2026-15764 no NVD (Banco de Dados Nacional de Vulnerabilidades) do NIST (Instituto Nacional de Padrões e Tecnologia).

As falhas foram corrigidas nas versões 150.0.7871.124/.125 do Chrome para Windows e Mac, e 150.0.7871.124 para Linux.

Adobe

Em um desdobramento relacionado, a Adobe publicou atualizações de segurança para 88 vulnerabilidades, incluindo diversos bugs de severidade crítica no ColdFusion, Commerce, Experience Manager e Illustrator. Desses, oito afetam o Adobe ColdFusion:

  • CVE-2026-48318 (pontuação CVSS — Sistema Comum de Pontuação de Vulnerabilidades: 9,9) — uma vulnerabilidade de traversal de diretório (path traversal) que pode levar à execução arbitrária de código.
  • CVE-2026-48322 (CVSS: 9,6) — uma vulnerabilidade de injeção de código que pode levar à execução arbitrária de código.
  • CVE-2026-48284 (CVSS: 9,6) — uma vulnerabilidade de validação inadequada de entrada que pode levar à execução arbitrária de código.
  • CVE-2026-48321 (CVSS: 9,3) — uma vulnerabilidade de autorização incorreta que pode levar à escalada de privilégios.
  • CVE-2026-48325 (CVSS: 9,3) — uma vulnerabilidade de autenticação ausente em uma função crítica que pode levar à execução arbitrária de código.
  • CVE-2026-48319 (CVSS: 9,1) — uma vulnerabilidade de traversal de diretório que pode levar à execução arbitrária de código.
  • CVE-2026-48324 (CVSS: 9,1) — uma vulnerabilidade de injeção de SQL (Linguagem de Consulta Estruturada) que pode levar à execução arbitrária de código.
  • CVE-2026-48327 (CVSS: 9,0) — uma vulnerabilidade de autorização incorreta que pode levar à execução arbitrária de código.

As falhas no ColdFusion foram corrigidas nas versões ColdFusion 2025 Update 11 e ColdFusion 2023 Update 22. Também foram corrigidas pela Adobe duas falhas críticas em cada um dos produtos Adobe Commerce e Magento Open Source e Adobe Experience Manager:

  • CVE-2026-48356 (CVSS: 9,6) — uma vulnerabilidade de upload de arquivo no Adobe Commerce e Magento Open Source que pode levar à escalada de privilégios.
  • CVE-2026-48358 (CVSS: 9,1) — uma vulnerabilidade de codificação ou escape inadequado de saída no Adobe Commerce e Magento Open Source que pode levar à execução arbitrária de código.
  • CVE-2026-48259 (CVSS: 9,6) — uma vulnerabilidade de falsificação de solicitação do lado do servidor (server-side request forgery) no Adobe Experience Manager que pode levar à execução arbitrária de código.
  • CVE-2026-48359 (CVSS: 9,6) — uma vulnerabilidade de restrição inadequada de referência a entidades externas em XML (Linguagem de Marcação Extensível) no Adobe Experience Manager que pode levar à execução arbitrária de código.

Broadcom/VMware

Em outra frente, a Broadcom divulgou uma correção para uma vulnerabilidade crítica de contorno de autenticação no VMware Avi Load Balancer (CVE-2026-47865, pontuação CVSS: 9,8), que um usuário mal-intencionado com acesso à rede pode explorar para acessar o plano de controle do Avi. Filip Waeytens, do Centro de Cibersegurança da Otan (NCSC, na sigla em inglês), foi creditado por descobrir e reportar a falha.

Embora nenhuma das vulnerabilidades tenha sido marcada como explorada ativamente, é fundamental que as organizações instalem as atualizações mais recentes, uma vez que agentes de ameaça são conhecidos por explorar essas falhas em ataques.

Segurança Vulnerabilidades Atualizações