A Google lançou uma atualização de emergência para o Chrome 142 em novembro de 2025, corrigindo o CVE-2025-13223, o sétimo zero-day explorado ativamente durante o ano. Esta vulnerabilidade crítica, descoberta pela equipa Threat Analysis Group (TAG) da Google, representa mais um capítulo preocupante na segurança do navegador mais utilizado globalmente, confirmando 2025 como um ano recorde para explorações zero-day no Chrome.
A falha, classificada com severidade alta e pontuação CVSS de 8.8, é uma vulnerabilidade de Type Confusion no motor V8 JavaScript e WebAssembly, permitindo que atacantes remotos executem código arbitrário através de páginas HTML especialmente criadas. A CISA (Cybersecurity and Infrastructure Security Agency) adicionou rapidamente o CVE-2025-13223 ao seu catálogo KEV (Known Exploited Vulnerabilities), estabelecendo 25 de novembro de 2025 como prazo limite para remediação em agências federais norte-americanas.
O Que É o CVE-2025-13223?
O CVE-2025-13223 é uma vulnerabilidade de Type Confusion localizada no motor V8 do Google Chrome. Type Confusion ocorre quando o software interpreta incorretamente um segmento de memória como sendo de um tipo diferente do original, causando corrupção de memória que pode levar a crashes do programa ou, mais gravemente, à execução de código malicioso.
Neste caso específico, a vulnerabilidade permite que um atacante remoto explore a corrupção de heap (heap corruption) através de uma página HTML maliciosa cuidadosamente elaborada. A exploração bem-sucedida pode resultar em execução arbitrária de código no contexto do navegador, potencialmente permitindo ao atacante obter controlo total sobre o sistema da vítima.
Detalhes Técnicos da Vulnerabilidade
O motor V8 é o componente central do Chrome responsável por executar código JavaScript e WebAssembly. Escrito em C++, o V8 é também utilizado por outras aplicações como Node.js e navegadores baseados em Chromium (Microsoft Edge, Brave, Opera, Vivaldi).
A vulnerabilidade CVE-2025-13223 afeta todas as versões do Google Chrome anteriores à 142.0.7444.175. A falha permite que atacantes manipulem a forma como o V8 gere tipos de objetos na memória, explorando essa confusão para corromper estruturas de dados críticas e alcançar execução remota de código (RCE).
Características Técnicas:
- CVE ID: CVE-2025-13223
- CVSS Score: 8.8 (Alta Severidade)
- Tipo: Type Confusion in V8
- Vetor de Ataque: Remoto via página HTML maliciosa
- Privilégios Necessários: Nenhum
- Interação do Utilizador: Necessária (visitar página maliciosa)
- Impacto: Execução de código arbitrário, corrupção de memória
Descoberta e Divulgação Responsável
Clément Lecigne, da equipa Google Threat Analysis Group (TAG), reportou a vulnerabilidade em 12 de novembro de 2025. O TAG é uma unidade especializada da Google que investiga ataques de atores estado-nação e fornecedores de spyware comercial, o que sugere fortemente que o CVE-2025-13223 foi explorado em campanhas sofisticadas de espionagem direcionada.
A Google adotou a sua política padrão de divulgação responsável, restringindo detalhes técnicos até que a maioria dos utilizadores tenha aplicado a correção. Este procedimento visa proteger utilizadores vulneráveis enquanto o patch se propaga pelos sistemas globalmente.
2025: Ano Recorde de Zero-Days Chrome
O CVE-2025-13223 marca o sétimo zero-day explorado ativamente no Chrome durante 2025, estabelecendo um novo recorde preocupante. Na realidade, a Google já corrigiu um oitavo zero-day em dezembro de 2025, demonstrando a pressão contínua que o navegador enfrenta de atacantes sofisticados.
Lista Completa de Zero-Days Chrome 2025
| # | CVE | Mês | Tipo | Descoberta | Contexto |
|---|---|---|---|---|---|
| 1 | CVE-2025-2783 | Março | Sandbox Escape | Kaspersky | Espionagem contra governo russo |
| 2 | CVE-2025-4664 | Maio | Policy Enforcement | Google TAG | Hijacking de contas |
| 3 | CVE-2025-5419 | Junho | Out-of-Bounds (V8) | Google TAG | Corrupção de heap |
| 4 | CVE-2025-6554 | Julho | Type Confusion (V8) | Google TAG | Ataques estado-nação |
| 5 | CVE-2025-6558 | Julho | Validation (ANGLE) | Anónimo | Sandbox escape |
| 6 | CVE-2025-10585 | Setembro | Type Confusion (V8) | Google TAG | Exploração ativa |
| 7 | CVE-2025-13223 | Novembro | Type Confusion (V8) | Google TAG | Espionagem direcionada |
| 8 | TBD | Dezembro | Buffer Overflow (ANGLE) | Anónimo | Exploração confirmada |
Esta sequência demonstra um padrão claro: o motor V8 continua a ser o alvo primário de atacantes avançados, com cinco das oito vulnerabilidades localizadas neste componente crítico. As falhas de Type Confusion no V8 são particularmente perigosas, pois podem ser encadeadas com outras vulnerabilidades para escapar da sandbox do navegador e obter privilégios elevados no sistema operativo.
Padrões de Exploração e Atores de Ameaça
A presença dominante do Google TAG nas descobertas (cinco dos oito zero-days) indica que estas vulnerabilidades foram exploradas por:
Atores Estado-Nação: Grupos APT (Advanced Persistent Threat) patrocinados por estados utilizam zero-days Chrome em campanhas de espionagem direcionada contra alvos de alto valor – jornalistas, políticos da oposição, ativistas de direitos humanos, e funcionários governamentais.
Fornecedores de Spyware Comercial: Empresas como NSO Group e similares desenvolvem e vendem exploits zero-day para governos e agências de segurança, criando um mercado lucrativo para estas vulnerabilidades.
Grupos Criminosos: O CVE-2025-4664, que permitiu hijacking de contas, sugere exploração por grupos focados em ganhos financeiros através de roubo de credenciais e fraude.
Impacto e Riscos para Organizações
As vulnerabilidades zero-day no Chrome representam riscos críticos tanto para utilizadores individuais quanto para ambientes empresariais. Neste artigo do Blog Dolutech, destacamos os principais vetores de risco:
Ataques Drive-by-Download
Atacantes podem comprometer sites legítimos ou criar páginas maliciosas que exploram automaticamente o CVE-2025-13223 quando visitadas por utilizadores com versões vulneráveis do Chrome. Não é necessária nenhuma interação adicional além de aceder à página.
Campanhas de Phishing Direcionado
Spear-phishing combinado com exploits zero-day permite ataques altamente eficazes. Um e-mail convincente com um link malicioso pode comprometer completamente sistemas de alvos prioritários, contornando muitas defesas tradicionais.
Escalada de Privilégios
Embora o CVE-2025-13223 por si só execute código no contexto do navegador, pode ser encadeado com vulnerabilidades de sandbox escape (como CVE-2025-2783 ou CVE-2025-6558) para obter controlo total do sistema operativo.
Exposição Organizacional
A quota de mercado dominante do Chrome (mais de 60% globalmente) significa que uma única vulnerabilidade pode expor milhões de dispositivos simultaneamente. Ambientes empresariais com políticas de atualização lentas ficam particularmente vulneráveis durante a janela entre divulgação e patch.
Contexto Europeu e Conformidade Regulatória
Para organizações na Europa e Portugal, as vulnerabilidades zero-day no Chrome têm implicações diretas em várias frameworks regulatórias:
NIS2 (Diretiva de Segurança de Redes e Sistemas de Informação)
A NIS2 exige que entidades essenciais e importantes implementem medidas técnicas e organizacionais adequadas para gerir riscos de cibersegurança. Falhas em aplicar patches críticos para vulnerabilidades exploradas ativamente podem constituir violação dos requisitos de gestão de riscos da diretiva.
DORA (Digital Operational Resilience Act)
Entidades financeiras reguladas pela DORA devem manter capacidades robustas de gestão de vulnerabilidades. A exploração ativa de zero-days como CVE-2025-13223 requer resposta rápida e documentada, incluindo avaliação de impacto e implementação de controlos compensatórios se patches imediatos não forem viáveis.
RGPD (Regulamento Geral sobre a Proteção de Dados)
Se a exploração do CVE-2025-13223 resultar em violação de dados pessoais, as organizações têm 72 horas para notificar a CNPD (Comissão Nacional de Proteção de Dados). A falha em aplicar patches de segurança conhecidos pode ser considerada negligência na proteção de dados pessoais.
Como Mitigar o CVE-2025-13223
A Dolutech recomenda as seguintes medidas imediatas para proteção contra esta ameaça:
Atualização Imediata do Chrome
Versões Corrigidas:
- Windows: 142.0.7444.175/.176
- macOS: 142.0.7444.176
- Linux: 142.0.7444.175
Procedimento de Atualização:
- Abra o Chrome
- Navegue para: Menu (⋮) > Ajuda > Acerca do Google Chrome
- O Chrome verificará e instalará atualizações automaticamente
- Clique em Reiniciar para aplicar a correção
Verificação Manual:
chrome://settings/helpNavegadores Baseados em Chromium
Utilizadores de Microsoft Edge, Brave, Opera, Vivaldi e outros navegadores baseados em Chromium devem aguardar e aplicar as atualizações correspondentes assim que disponibilizadas pelos respetivos fornecedores. O Vivaldi foi o primeiro a disponibilizar correções para o CVE-2025-13223.
Controlos Compensatórios Temporários
Enquanto aguarda a aplicação de patches em ambientes complexos:
Isolamento de Navegação: Implementar soluções de Browser Isolation que executam sessões web em ambientes remotos isolados, protegendo endpoints mesmo se explorações forem bem-sucedidas.
Políticas de Grupo: Administradores Windows podem forçar atualizações automáticas do Chrome através de GPO (Group Policy Objects):
Configuração do Computador > Modelos Administrativos > Google Chrome > Políticas de AtualizaçãoMonitorização de Rede: Implementar deteção de anomalias para identificar padrões de tráfego associados com exploração de vulnerabilidades V8, incluindo comunicações C2 (Command and Control) suspeitas.
Segmentação: Limitar acessos de navegação a sistemas críticos através de jump servers ou soluções de acesso privilegiado.
Verificação de Comprometimento
Organizações que suspeitam terem sido alvo devem:
- Revisar Logs: Analisar logs de proxy e EDR para acessos a domínios suspeitos nas datas relevantes
- Verificar Processos: Procurar processos filhos anómalos do Chrome ou execução de código não autorizado
- Análise Forense: Em casos confirmados, isolar sistemas e conduzir análise forense completa
- Notificação: Cumprir obrigações de notificação conforme NIS2/DORA/RGPD
Conclusão
O CVE-2025-13223 representa mais uma confirmação de que 2025 é um ano excecional para vulnerabilidades zero-day no Chrome, com pelo menos oito falhas exploradas ativamente até dezembro. Nós na Dolutech observamos que o motor V8 continua a ser o componente mais visado, com atacantes sofisticados – particularmente grupos estado-nação e fornecedores de spyware comercial – a investirem recursos significativos na descoberta e exploração destas falhas.
Para organizações em Portugal, Brasil e Europa, a gestão eficaz destas vulnerabilidades não é apenas uma questão de cibersegurança, mas também de conformidade regulatória sob NIS2, DORA e RGPD (LGPD). A aplicação imediata de patches e a implementação de controlos compensatórios são essenciais para manter a postura de segurança e evitar consequências regulatórias.
A recomendação prioritária é clara: atualize o Chrome imediatamente para a versão 142.0.7444.175/.176 ou superior. A exploração ativa confirmada significa que atacantes já possuem capacidades operacionais, e cada hora de atraso aumenta exponencialmente o risco de comprometimento.
Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.
