Se você é daqueles que ignora a atualização do navegador por preguiça de reiniciar o Chrome, talvez seja hora de repensar isso. O Google lançou o Chrome 140 e, por trás do changelog “burocrático”, esconde-se algo sério: uma brecha crítica que pode permitir que atacantes executem código malicioso remotamente no seu sistema. Sim, do jeitinho que você está pensando.
O update está chegando aos poucos para Windows, macOS e Linux com as versões 140.0.7339.80/81, e a principal recomendação é clara: atualize imediatamente.
O que mudou no Chrome 140?
Entre correções visuais e melhorias de estabilidade que ninguém liga, o destaque do Chrome 140 vai para seis falhas de segurança corrigidas sendo três delas descobertas por pesquisadores externos que literalmente ganharam grana para mostrar onde o Google errou. E olha… o erro foi grande.
A falha mais preocupante é a CVE-2025-9864, classificada como de alta gravidade. Ela foi descoberta por Pavel Kuzmin, da Yandex Security Team, e afeta diretamente o motor JavaScript V8 coração da execução de scripts dentro do navegador.
Traduzindo: com essa falha, um atacante poderia forçar o Chrome a liberar memória antes da hora (o famoso use-after-free), abrindo espaço para execução de código remoto. Ou seja, você visita um site aparentemente normal, e puf, o hacker assume o controle.
Outras falhas corrigidas
Além da bomba principal, o Chrome 140 corrigiu outras vulnerabilidades sérias:
| CVE | Gravidade | Descoberto por | Recompensa |
|---|---|---|---|
| CVE-2025-9865 | Média | Khalil Zhani | $5000 |
| CVE-2025-9866 | Média | NDevTK | $4000 |
| CVE-2025-9867 | Média | Farras Givari | $1000 |
| CVE-2025-9864 | Alta | Pavel Kuzmin (Yandex Security Team) | NA |
O trabalho por trás dos panos
Nem tudo vem de fora. O time interno do Google também fez sua parte, usando uma verdadeira tropa de choque de ferramentas como AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, libFuzzer, AFL, e outros nomes complicados que basicamente significam: “jogamos o navegador em um liquidificador para ver onde ele quebra”.
Um desses testes internos levou ao patch ID 442611697, que resolveu uma série de vulnerabilidades menores em uma tacada só.
O mérito aqui é do processo de fuzzing contínuo que o Google mantém ou seja, ficam testando o Chrome com dados malformados 24/7 até acharem algo estranho.
Por que isso importa?
Porque, sejamos francos, o navegador virou o sistema operacional do cidadão comum. É onde você faz o PIX, acessa o banco, envia contrato, trabalha, faz entrevista, e às vezes até… bom, você sabe.
Uma falha no V8 que permite execução de código remoto não é só “um bug técnico” — é uma ameaça real à sua privacidade, seus dados e sua máquina. E tudo isso pode acontecer sem você clicar em absolutamente nada suspeito.
Como se proteger?
Simples:
- Abra o Chrome
- Vá em “Ajuda” > “Sobre o Google Chrome”
- Veja se você já está na versão 140.0.7339.80 ou superior
- Se não estiver, ele vai começar a atualizar
- Reinicie o navegador depois (não adianta só deixar a aba aberta)
Se você usa a versão Extended Stable, vai receber a 140.0.7339.81. Mesma segurança, só muda o timing da distribuição.
A cada nova versão, o Chrome reforça o que a gente já sabe mas insiste em ignorar: atualizar é mais importante do que parece. Os hackers estão cada vez mais rápidos, e a janela entre uma falha descoberta e um exploit ativo está cada vez menor.
Então, da próxima vez que o Chrome te pedir pra reiniciar, não adie. Você pode estar protegendo sua máquina de um ataque invisível.
