O Google promoveu oficialmente o Chrome 143 para o canal Stable, lançando a versão 143.0.7499.40 para Linux e 143.0.7499.40/41 para Windows e Mac.
Esta atualização significativa aborda 13 vulnerabilidades de segurança, incluindo várias falhas de alta gravidade que podem permitir que invasores executem código arbitrário ou comprometam o mecanismo de renderização do navegador.
A vulnerabilidade mais crítica abordada nesta versão é a CVE-2025-13630, uma vulnerabilidade de confusão de tipos no mecanismo JavaScript V8. Relatada pelo pesquisador de segurança Shreyas Penkar, essa falha rendeu uma recompensa de US$ 11 mil.
As vulnerabilidades de confusão de tipos são particularmente perigosas porque ocorrem quando o programa aloca um recurso usando um tipo, mas posteriormente o acessa usando um tipo diferente e incompatível.
Em um contexto de navegador, a exploração bem-sucedida de um bug de confusão do tipo V8 geralmente permite que um invasor remoto execute código arbitrário dentro da sandbox do renderizador, enganando o usuário para que ele visite um site especialmente criado.
Outro problema notável de alta gravidade é o CVE-2025-13631, uma falha de implementação inadequada no serviço Google Updater. Esta vulnerabilidade foi reportada pelo investigador Jota Domingos e acarretou uma recompensa de 3.000 dólares.
Embora os detalhes específicos sobre o vetor de exploração permaneçam restritos para evitar abusos generalizados, as vulnerabilidades nos mecanismos de atualização podem, às vezes, ser aproveitadas para estabelecer persistência ou elevar privilégios em um sistema host.
A atualização também resolve CVE-2025-13632, um problema de alta gravidade no DevTools relatado por Leandro Teles, e CVE-2025-13633, um bug de corrupção de memória “Use After Free” (UAF) em Credenciais Digitais descoberto internamente pelo Google.
Os bugs UAF continuam sendo uma classe típica de erros de segurança de memória no Chrome, ocorrendo frequentemente quando o navegador tenta usar a memória liberada, causando travamentos ou possível execução de código.
O Google restringiu o acesso a todos os detalhes do bug até que a maioria da base de usuários tenha atualizado para a versão corrigida. Este procedimento operacional padrão minimiza o risco de agentes de ameaças fazerem engenharia reversa do patch para desenvolver explorações para navegadores não corrigidos.
A tabela a seguir resume as principais contribuições de segurança externas resolvidas no Chrome 143:
CVE IDSeverityVulnerability TypeComponentRewardCVE-2025-13630HighType ConfusionV8$ 11.000CVE-2025-13631HighImplementação inadequadaGoogle Updater$3.000CVE-2025-13632HighImplementação inadequadaDevToolsTBDCVE-2025-13634MédioInapropriado ImplementaçãoDownloadsTBDCVE-2025-13635Baixa Implementação inadequadaDownloads$ 3.000CVE-2025-13636BaixaImplementação inadequadaVisualização dividida$ 1.000
Além dos relatórios externos, a equipe de segurança interna do Google identificou vários outros problemas, incluindo uma condição de corrida de gravidade média no V8 (CVE-2025-13721) e uma conversão incorreta no componente Loader (CVE-2025-13720).
A equipe do Chrome utilizou ferramentas de testes automatizados, como AddressSanitizer e libFuzzer, para detectar essas variações de memória durante o ciclo de desenvolvimento.
Os usuários de Windows, Mac e Linux devem procurar que a atualização seja instalada automaticamente nos próximos dias. As verificações manuais podem ser realizadas navegando até o menu do Chrome, selecionando Ajuda e clicando em Sobre o Google Chrome para forçar o download da versão 143.
Siga-nos no Google News, LinkedIn e X para atualizações diárias de segurança cibernética. Entre em contato conosco para apresentar suas histórias.
