Se usa o Chrome, deve actualizá-lo o mais depressa possível

A Google lançou uma actualização de segurança, com carácter de urgência, para o Chrome com o objectivo de mitigar uma vulnerabilidade que já está a ser aproveitada por atacantes. A falha, identificada como CVE-2026-2441, apresenta um nível de gravidade elevado e permite a execução de código malicioso de forma remota, o que coloca em risco milhões de utilizadores em todo o mundo. Este é o primeiro grande incidente de segurança do browser em 2026, o que reforça a necessidade de uma vigilância constante sobre as ferramentas que utilizamos para aceder à rede.

A vulnerabilidade foi detectada e reportada pelo investigador de segurança Shaheen Fazim no passado dia 11 de Fevereiro. A resposta da gigante tecnológica foi invulgarmente rápida, com a disponibilização da correcção apenas dois dias depois, a 13 de Fevereiro. Com uma pontuação de 8.8 no sistema CVSS (Common Vulnerability Scoring System), a falha é classificada como sendo de alta gravidade.

O problema reside num erro do tipo “use-after-free”, que ocorre quando o browser tenta aceder a uma zona da memória que já foi libertada ou eliminada. Este processo acaba por deixar um espaço vazio na memória que pode ser manipulado por agentes maliciosos para inserir e executar instruções arbitrárias. No caso específico do Chrome, o erro localiza-se no motor que processa as folhas de estilo CSS, mais precisamente no componente CSSFontFeatureValuesMap, responsável pela gestão de tipos de letra avançados.

A exploração desta falha é particularmente insidiosa porque não exige que o utilizador descarregue qualquer ficheiro ou clique em botões suspeitos. Basta que a vítima aceda a uma página Web preparada para o ataque, que pode conter tipos de letra ou elementos CSS manipulados, para que o processo de infecção tenha início. Ao carregar o conteúdo, o browser é induzido em erro, o que permite que o código malicioso passe a correr directamente na memória do sistema.

Embora o Chrome utilize uma ‘sandbox’, ou área isolada, para isolar os processos do browser do resto do sistema operativo, o perigo continua a ser considerável. Um atacante que consiga executar código dentro desta sandbox pode aceder a dados sensíveis de navegação, espiar separadores abertos ou tentar encontrar outras vulnerabilidades para “saltar” para fora do isolamento e obter o controlo total do computador. Especialistas em cibersegurança sugerem que, em ataques reais, esta falha é frequentemente combinada com outros métodos para elevar privilégios nos sistemas Windows, macOS ou Linux.

A Google confirmou que a falha está a ser explorada “in the wild”, o que significa que já existem ataques reais a acontecer, embora a empresa não tenha revelado detalhes específicos sobre os alvos ou a identidade dos atacantes. Esta política de retenção de informação é comum nestas situações, servindo para evitar que outros piratas informáticos aprendam a replicar o ataque antes que a maioria dos utilizadores tenha tido oportunidade de actualizar o programa.

A ausência de necessidade de interacção por parte do utilizador torna esta ameaça especialmente perigosa para ambientes empresariais. Uma simples visita a um site legítimo que tenha sido comprometido pode ser suficiente para comprometer uma estação de trabalho. Por esta razão, as empresas estão a ser aconselhadas a actualizar rapidamente os seus parques informáticos e a monitorizar o tráfego de rede em busca de comportamentos anómalos.

Este incidente marca a primeira correcção de uma vulnerabilidade zero-day no Chrome em 2026, mas o histórico recente mostra que a tendência é de crescimento. No ano passado, a Google teve de lidar com oito falhas deste género que estavam a ser exploradas activamente ou que tinham provas de conceito públicas. O facto de o Chrome ser o browser mais utilizado do planeta torna-o um alvo preferencial, dada a vasta superfície de ataque que oferece.

Curiosamente, este alerta surge na mesma semana em que a Apple também lançou actualizações críticas para o iOS, macOS e visionOS para corrigir uma falha semelhante (CVE-2026-20700). No caso da Apple, a vulnerabilidade foi utilizada em ataques extremamente sofisticados contra indivíduos específicos. Este cenário demonstra que os navegadores e os motores de renderização de conteúdos continuam a ser o elo mais visado na cadeia de cibersegurança moderna, independentemente da plataforma ou do fabricante.

A correcção já está a ser distribuída de forma faseada a nível global. As versões seguras são a 145.0.7632.75/76 para utilizadores de Windows e macOS, e a 144.0.7559.75 para quem utiliza sistemas Linux. É importante notar que outros browser baseados no motor Chromium, como o Microsoft Edge, Brave, Opera e Vivaldi, também deverão receber actualizações em breve, uma vez que partilham o mesmo código base onde a falha foi encontrada.

Para garantir a protecção, os utilizadores devem verificar manualmente se a actualização já está instalada. No Chrome, este processo é simples: basta aceder ao menu (os três pontos no canto superior direito), seleccionar Ajuda e, em seguida, Acerca do Google Chrome. De seguida, o browser procura automaticamente novas versões e proceder à instalação. Após o processo, é fundamental reiniciar o programa para que as alterações entrem em vigor.

Embora as actualizações automáticas estejam activadas por defeito na maioria dos casos, a gravidade desta falha justifica uma verificação manual imediata. Num mundo digital onde as ameaças evoluem em poucas horas, manter o software actualizado continua a ser a defesa mais eficaz contra o cibercrime organizado e ataques patrocinados por estados.