Webassembly

Uma falha crítica de Execução Remota de Código (RCE) no Google Chrome, identificada como CVE-2025-1195777, foi divulgada publicamente, expondo sistemas não corrigidos a riscos de comprometimento total. A vulnerabilidade foi descoberta durante a competição TyphoonPWN 2025 pelo pesquisador Seunghyun Lee e está relacionada a um bug sutil de canonização do WebAssembly no motor V8 do Chrome. O problema decorre de verificações inadequadas de nulidade na rotina CanonicalEqualityEqualValueType, permitindo que atacantes contornem garantias de tipo do Wasm e criem primitivas fora dos limites. A exploração utiliza uma cadeia de dois estágios: primeiro, sequestrando o sandbox do Wasm e, em seguida, abusando de uma característica da pilha secundária da JS Promise Integration para executar um código arbitrário na máquina host. Até o momento, o Google não lançou um patch oficial, deixando as versões do Chrome de 137.0.7151.40 a 138.0.7204.4 vulneráveis. Organizações são aconselhadas a desativar temporariamente o WebAssembly ou implementar políticas de segurança para mitigar a exposição a páginas maliciosas. Usuários devem evitar navegar em sites não confiáveis até que uma correção seja disponibilizada.