Google Chrome

O Google lançou uma atualização de segurança emergencial para o Chrome após a descoberta de uma vulnerabilidade crítica de zero-day, que está sendo ativamente explorada por atacantes. A versão 140.0.7339.185/.186 para Windows e Mac, e 140.0.7339.185 para Linux, foi disponibilizada em 17 de setembro de 2025, corrigindo quatro falhas de segurança de alta gravidade, incluindo a CVE-2025-10585. Essa vulnerabilidade, classificada como um erro de confusão de tipo no motor JavaScript V8 do Chrome, permite que atacantes corrompam a memória e executem código remotamente. O Google confirmou que um exploit para essa vulnerabilidade já está em uso, o que representa um risco significativo para os usuários. Além da CVE-2025-10585, a atualização também corrige outras falhas críticas, como CVE-2025-10500, CVE-2025-10501 e CVE-2025-10502, que envolvem vulnerabilidades de uso após liberação de memória e estouro de buffer. Os usuários do Chrome devem atualizar imediatamente seus navegadores para mitigar esses riscos, e as organizações devem implementar monitoramento de rede para detectar tentativas de exploração.

Uma nova versão do malware conhecido como Raven Stealer está rapidamente se espalhando em mercados clandestinos, visando usuários de navegadores baseados em Chromium, como o Google Chrome. Desenvolvido principalmente em Delphi, com módulos centrais em C++, o Raven Stealer se destaca por sua furtividade operacional e interação mínima com o usuário, tornando-se uma ferramenta atraente para atacantes iniciantes e experientes.

O executável do malware, com cerca de 7 MB, incorpora componentes críticos em sua seção de recursos, utilizando um editor de recursos para incluir uma DLL criptografada. Essa DLL é protegida por criptografia ChaCha20, dificultando a análise estática. Durante a execução, o malware injeta a DLL em um processo do Chrome suspenso, permitindo acesso total aos dados do navegador.

No dia 18 de setembro de 2025, o Google lançou atualizações de segurança para o navegador Chrome, abordando quatro vulnerabilidades, incluindo uma que está sendo explorada ativamente. A vulnerabilidade zero-day identificada como CVE-2025-10585 é um problema de confusão de tipos no motor V8 do JavaScript e WebAssembly. Esse tipo de vulnerabilidade pode permitir que atacantes executem código arbitrário e causem falhas no software. A equipe de Análise de Ameaças do Google (TAG) descobriu e relatou a falha em 16 de setembro. Embora o Google tenha confirmado a exploração da vulnerabilidade, não forneceu detalhes sobre os atacantes ou a escala dos ataques para evitar que outros exploradores a utilizem antes que os usuários possam aplicar a correção. Esta é a sexta vulnerabilidade zero-day no Chrome desde o início do ano. Para se proteger, os usuários devem atualizar para as versões 140.0.7339.185/.186 para Windows e macOS, e 140.0.7339.185 para Linux. Navegadores baseados em Chromium, como Microsoft Edge e Brave, também devem ser atualizados assim que as correções estiverem disponíveis.