Esta é a oitava falha desse tipo corrigida pela empresa desde o início do ano.
“Estamos cientes de que um exploit para a falha 466192044 está sendo usado em ataques reais”, informou o Google em comunicado de segurança divulgado na última quarta-feira.
A correção, classificada com alta gravidade, já está disponível para usuários do canal Stable Desktop, com as versões sendo distribuídas globalmente para Windows (143.0.7499.109), macOS (143.0.7499.110) e Linux (143.0.7499.109).
Embora o patch possa levar dias ou semanas para alcançar todos os usuários, a atualização já estava disponível na verificação feita nesta quinta-feira.
Para quem prefere não atualizar manualmente, o próprio navegador pode buscar atualizações automaticamente e instalá-las na próxima reinicialização.
O Google não divulgou mais detalhes sobre essa falha zero-day, nem o CVE (Common Vulnerabilities and Exposures) associado, afirmando que as informações ainda estão “sob coordenação”.
“Detalhes da vulnerabilidade e links podem permanecer restritos até que a maioria dos usuários receba a correção.
Essa restrição também será mantida caso o bug esteja presente em bibliotecas de terceiros usadas por outros projetos que ainda não lançaram patches”, explicou a empresa.
No entanto, segundo o ID do bug no Chromium, trata-se de uma vulnerabilidade de buffer overflow na biblioteca open-source LibANGLE do Google.
Essa biblioteca converte chamadas gráficas OpenGL ES em outras APIs, como Direct3D, Vulkan ou Metal, permitindo que aplicativos OpenGL ES rodem em sistemas sem suporte nativo ou onde outras APIs oferecem melhor desempenho.
De acordo com o relatório do bug no Chromium, o problema ocorre no renderizador Metal do ANGLE, causado por dimensionamento incorreto de buffers.
Isso pode resultar em corrupção de memória, travamentos, vazamento de informações sensíveis e até execução arbitrária de código.
Desde janeiro, o Google já corrigiu outras sete vulnerabilidades zero-day exploradas em ataques reais.
Em novembro, setembro e julho, duas dessas falhas ( CVE-2025-13223 , CVE-2025-10585 e CVE-2025-6558 ) foram reportadas pela equipe Threat Analysis Group (TAG) do Google.
Em maio, outra atualização resolveu um zero-day ( CVE-2025-4664 ) que permitia a invasão de contas.
Já em junho, a empresa corrigiu uma vulnerabilidade no motor JavaScript V8 ( CVE-2025-5419 ), também descoberta pelo TAG.
Em março, o Google se antecipou e corrigiu uma falha grave de escape de sandbox (CVE-2025-2783), identificada pela Kaspersky, que estava sendo usada em ataques de espionagem contra entidades governamentais e veículos de mídia da Rússia.
