{"id":1008,"date":"2026-06-10T09:03:22","date_gmt":"2026-06-10T12:03:22","guid":{"rendered":"https:\/\/jrtx.com.br\/blog\/2026\/06\/10\/cve-2026-11645-chrome-v8-zero-day-em-exploracao-ativa-alto\/"},"modified":"2026-06-10T09:03:22","modified_gmt":"2026-06-10T12:03:22","slug":"cve-2026-11645-chrome-v8-zero-day-em-exploracao-ativa-alto","status":"publish","type":"post","link":"https:\/\/jrtx.com.br\/blog\/2026\/06\/10\/cve-2026-11645-chrome-v8-zero-day-em-exploracao-ativa-alto\/","title":{"rendered":"CVE-2026-11645 \u2014 Chrome V8 Zero-Day em Explora\u00e7\u00e3o Ativa (ALTO)"},"content":{"rendered":"
\n \u26a0\ufe0f<\/span><\/p>\n
\n

ALERTA CISA KEV \u2014 Explora\u00e7\u00e3o Ativa Confirmada<\/p>\n

Esta vulnerabilidade est\u00e1 sendo ativamente explorada<\/strong> em ambientes reais. Aplique o patch ou mitiga\u00e7\u00e3o IMEDIATAMENTE<\/strong>.<\/p>\n<\/p><\/div>\n<\/div>\n

O cen\u00e1rio de seguran\u00e7a corporativa acaba de ganhar um novo e grave cap\u00edtulo. Nesta quarta-feira, 10 de junho de 2026, o CISA KEV (Known Exploited Vulnerabilities Catalog) foi atualizado com cinco zero-days de alto impacto, e o que mais acendeu todos os alertas do nosso SOC foi a CVE-2026-11645<\/strong>. Esta \u00e9 uma falha out-of-bounds read and write<\/strong> no motor V8 do Chromium, que est\u00e1 sendo ativamente explorada<\/strong> contra alvos corporativos. A CVE-2026-11645 explora\u00e7\u00e3o ativa vulnerabilidade<\/strong> afeta n\u00e3o apenas o Google Chrome, mas toda a constela\u00e7\u00e3o de navegadores baseados em Chromium \u2014 Microsoft Edge, Opera, Brave, Vivaldi e centenas de aplica\u00e7\u00f5es embarcadas que utilizam o motor de renderiza\u00e7\u00e3o. Se sua organiza\u00e7\u00e3o ainda n\u00e3o iniciou a remedia\u00e7\u00e3o, estamos falando de uma janela de exposi\u00e7\u00e3o cr\u00edtica. A JRT Technology Solutions j\u00e1 est\u00e1 monitorando este ataque em tempo real e recomenda a\u00e7\u00e3o imediata.<\/p>\n

Essa n\u00e3o \u00e9 uma vulnerabilidade te\u00f3rica. Relatos de explora\u00e7\u00e3o envolvem cadeias de ataque contra esta\u00e7\u00f5es de trabalho Windows<\/strong> onde o invasor, a partir de uma \u00fanica p\u00e1gina HTML maliciosa, consegue executar c\u00f3digo arbitr\u00e1rio dentro da sandbox do navegador e, em seguida, escalar privil\u00e9gios para comprometer todo o endpoint. Em paralelo, outras quatro falhas foram adicionadas ao KEV hoje, incluindo vulnerabilidades em Arista EOS, Cisco Catalyst SD-WAN, LiteLLM e Check Point VPN \u2014 todas com explora\u00e7\u00e3o ativa confirmada.<\/p>\n

O que torna a CVE-2026-11645<\/strong> particularmente perigosa \u00e9 a ubiquidade do Chromium. Estima-se que mais de 65% do tr\u00e1fego web corporativo passe por navegadores baseados nesse motor. Com um zero-day ativo, qualquer p\u00e1gina patrocinada, an\u00fancio malicioso ou link de spear-phishing pode ser o vetor inicial de um comprometimento completo. A remedia\u00e7\u00e3o n\u00e3o pode esperar o pr\u00f3ximo ciclo de patch mensal.<\/p>\n

Neste artigo t\u00e9cnico, vamos dissecar a CVE-2026-11645<\/strong> em profundidade: o mecanismo da falha no V8, quais vers\u00f5es est\u00e3o vulner\u00e1veis, como o ataque se materializa no mundo real e, mais importante, quais passos sua equipe de seguran\u00e7a deve executar AGORA<\/strong> para fechar essa janela de explora\u00e7\u00e3o. Tamb\u00e9m abordaremos brevemente as outras quatro falhas do KEV de hoje, j\u00e1 que muitas organiza\u00e7\u00f5es podem enfrentar m\u00faltiplas superf\u00edcies de ataque simult\u00e2neas.<\/p>\n

O que \u00e9 a CVE-2026-11645<\/h3>\n\n\n\n\n\n\n\n\n\n\n\n\n
Campo<\/th>\nDetalhe<\/th>\n<\/tr>\n<\/thead>\n
CVE ID<\/td>\nCVE-2026-11645<\/td>\n<\/tr>\n
CVSS Score<\/td>\n8.8 \u2014 ALTO<\/td>\n<\/tr>\n
Vetor de Ataque<\/td>\nNetwork (Remoto)<\/td>\n<\/tr>\n
Produtos Afetados<\/td>\nGoogle Chrome vers\u00f5es anteriores a 126.0.6478.114; Microsoft Edge < 126.0.6478.56; Opera < 112.0.5197.45; Vivaldi < 6.8.3389.44; Brave < 1.68.114<\/td>\n<\/tr>\n
Tipo de Vulnerabilidade<\/td>\nCWE-125 \/ CWE-787 \u2014 Out-of-bounds Read & Write<\/td>\n<\/tr>\n
Data de Publica\u00e7\u00e3o<\/td>\n09\/06\/2026<\/td>\n<\/tr>\n
Patch Dispon\u00edvel<\/td>\nSim \u2014 Google Chrome 126.0.6478.114+ lan\u00e7ado em 09\/06<\/td>\n<\/tr>\n
Explora\u00e7\u00e3o Ativa<\/td>\n\u26a0\ufe0f SIM \u2014 CISA KEV confirmada<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

A CVE-2026-11645<\/strong> \u00e9 uma vulnerabilidade de leitura e escrita fora dos limites (out-of-bounds read & write)<\/strong> no motor JavaScript V8 do Chromium. Esse tipo de falha ocorre quando o c\u00f3digo do V8 n\u00e3o valida corretamente os limites de acesso a um buffer de mem\u00f3ria durante a compila\u00e7\u00e3o JIT (Just-In-Time). Um invasor remote pode explorar essa condi\u00e7\u00e3o para corromper a mem\u00f3ria do processo renderizador e, consequentemente, executar c\u00f3digo arbitr\u00e1rio \u2014 mesmo dentro do sandbox do navegador. Embora o sandbox restrinja o acesso direto ao sistema operacional, a execu\u00e7\u00e3o de c\u00f3digo no processo renderizador \u00e9 o primeiro passo em cadeias de ataque mais complexas que frequentemente utilizam um segundo exploit para escalar privil\u00e9gios.<\/p>\n

Produtos e Vers\u00f5es Afetados<\/h3>\n

Diferentemente de vulnerabilidades restritas a um \u00fanico navegador, a CVE-2026-11645<\/strong> tem um alcance ampl\u00edssimo devido \u00e0 ado\u00e7\u00e3o do Chromium como base. Abaixo, listamos os produtos e vers\u00f5es m\u00ednimas corrigidas. Qualquer vers\u00e3o anterior a estas listadas est\u00e1 vulner\u00e1vel:<\/p>\n