A nova versão do Google Chrome já está sendo distribuída e vem com um alerta claro: atualize agora. A versão 142 do navegador corrige 20 vulnerabilidades, algumas com potencial para permitir que atacantes executem código malicioso diretamente no sistema da vítima. O impacto é amplo, já que o update está sendo liberado para usuários de Windows, macOS e Linux.
A maioria dessas falhas foi identificada por pesquisadores externos e pelas equipes internas de segurança do Google, reforçando o quanto a superfície de ataque do navegador mais usado do mundo segue sendo um alvo de alto valor.
Falhas críticas no motor V8 elevam risco de exploração
Entre as falhas mais graves, sete receberam classificação de alta severidade e várias afetam diretamente o motor V8, responsável por interpretar JavaScript no Chrome. Isso significa que bastaria uma página web maliciosa para comprometer a segurança do navegador, especialmente se combinada com outras vulnerabilidades.
Duas dessas brechas, CVE-2025-12428 e CVE-2025-12429, renderam prêmios de US$ 50 mil cada aos pesquisadores que as descobriram. Ambas estão ligadas a falhas de confusão de tipo e implementação inadequada no V8 problemas que, se explorados, permitem que código arbitrário seja executado fora das permissões normais do navegador.
As descobertas vieram de nomes já conhecidos na comunidade de segurança. Man Yue Mo, do GitHub Security Lab, identificou a vulnerabilidade de confusão de tipo, enquanto Aorui Zhang encontrou a falha de implementação. Além disso, o projeto interno do Google, conhecido como Big Sleep, também contribuiu com descobertas relevantes, usando automação para identificar vulnerabilidades em larga escala.
Outros componentes também estavam vulneráveis
Além do motor V8, a atualização do Chrome 142 também corrige falhas em áreas como o sistema de mídia, extensões, armazenamento e interfaces gráficas.
Problemas como race conditions (condições de corrida), uso de memória após liberação (use-after-free), e leitura fora dos limites (out-of-bounds read) foram encontrados em componentes como PageInfo, WebXR e Ozone.
Em ambientes reais, essas falhas poderiam ser exploradas para comprometer dados, derrubar sessões de navegação ou enganar o usuário com interfaces de segurança incorretas como barras de endereço que não refletem com precisão a identidade de um site.
As vulnerabilidades de média e baixa severidade, embora menos impactantes isoladamente, também receberam atenção. Questões como falhas na UI de segurança e bypasses de política em extensões são exemplos de problemas que, acumulados, podem ser explorados em cadeias de ataque mais sofisticadas.
Atualização já em distribuição automática
A versão 142.0.7444.60 está sendo liberada automaticamente para usuários do Chrome em Windows e macOS, enquanto a versão 142.0.7444.59 atende usuários de Linux.
Como de costume, o Google restringe o acesso público a detalhes técnicos das falhas até que a maioria dos usuários já esteja protegida uma medida para evitar que os ataques aconteçam antes do patch ser aplicado.
Para empresas que utilizam o Chrome em ambientes corporativos, a recomendação é clara: priorize os testes internos e a distribuição da atualização o quanto antes. O risco de exploração é real, especialmente com vulnerabilidades já conhecidas por agentes externos.
Recompensas pelas descobertas de vulnerabilidades
O Google pagou mais de 140 mil dólares em recompensas por essas descobertas, reafirmando seu compromisso com programas de bug bounty.
Além disso, a atualização reforça a importância de manter navegadores sempre atualizados não apenas por novas funcionalidades, mas como linha de defesa crítica contra ataques sofisticados.
