O Google lançou uma atualização crítica para o navegador Chrome, corrigindo seis vulnerabilidades, incluindo a CVE-2025-6558, uma falha de alta gravidade (CVSS 8.8) que já está sendo explorada ativamente. A falha está relacionada à validação insuficiente de entradas não confiáveis nos componentes ANGLE e GPU do Chrome, permitindo que um invasor remoto execute um sandbox escape apenas ao induzir a vítima a abrir uma página HTML maliciosa.
O ANGLE (Almost Native Graphics Layer Engine) atua como uma camada de tradução entre o mecanismo de renderização do Chrome e os drivers gráficos do dispositivo. Ao explorar essa falha, atacantes podem escapar da sandbox do navegador e acessar recursos do sistema, uma técnica rara e perigosa em ataques direcionados. A vulnerabilidade foi descoberta por Clément Lecigne e Vlad Stolyarov, da equipe Google Threat Analysis Group (TAG), em 23 de junho de 2025. Embora o Google não tenha detalhado os ataques em andamento, a descoberta pelo TAG sugere possível envolvimento de ameaças avançadas ou patrocinadas por Estados.
Este é o quinto zero-day corrigido no Chrome em 2025, seguindo outras falhas críticas como a CVE-2025-6554 (CVSS 8.1) revelada no final de junho. Usuários devem atualizar o Chrome para as versões 138.0.7204.157/.158 (Windows e macOS) e 138.0.7204.157 (Linux). Para verificar a atualização, acesse: Mais > Ajuda > Sobre o Google Chrome e clique em Reiniciar. Navegadores baseados no Chromium, como Edge, Brave, Opera e Vivaldi, também devem receber correções em breve.
