CVE-2025-5419: Vulnerabilidade crítica no mecanismo V8 do Chromium está sendo explorada ativamente

This post is also available in: Português

Uma nova falha crítica foi identificada no V8, o motor JavaScript e WebAssembly do Google Chromium. Catalogada como CVE-2025-5419, essa vulnerabilidade de leitura e gravação fora dos limites (out-of-bounds) recebeu pontuação CVSS de 8.8 e já está sendo explorada ativamente em ataques reais.

O que é a CVE-2025-5419?

A falha se dá por acesso indevido à memória além dos limites de um buffer, o que pode levar a execução arbitrária de código, comprometimento do navegador e, potencialmente, do sistema inteiro. O problema foi classificado com base nas CWE-125 (Out-of-bounds Read) e CWE-787 (Out-of-bounds Write), duas categorias frequentemente associadas a exploits sofisticados em navegadores.

Produtos afetados

O impacto atinge diretamente navegadores baseados no projeto Chromium, como:

Google Chrome: afeta versões anteriores à 125.0.6422.141 (Windows/Mac/Linux);
Microsoft Edge: embora o relatório oficial não mencione uma versão específica, a Microsoft reconheceu a falha e também lançou atualizações de segurança.

Como o V8 é amplamente utilizado em navegadores baseados no Chromium, outros derivados (como Brave, Opera e Vivaldi) também podem estar vulneráveis, dependendo da versão utilizada.

Exploração ativa

A vulnerabilidade foi descoberta por Clément Lecigne e Benoît Sevens, membros do Google Threat Analysis Group (TAG), como parte de uma investigação sobre ameaças ativas. Segundo o próprio Google, há indícios de que a CVE-2025-5419 esteja sendo explorada ativamente na internet, o que torna sua correção urgente.

Atualizações e mitigação

A recomendação é clara: Usuários e administradores devem atualizar imediatamente seus navegadores Chromium para a versão mais recente.

O Chrome 125.0.6422.141 ou superior corrige a falha;
O Edge também já recebeu atualizações de segurança (detalhes no Microsoft Security Update Guide).

A mitigação adicional pode incluir práticas de contenção de danos em ambientes corporativos, como o uso de perfis de usuário restritos, bloqueio de execução de código não autorizado e monitoramento contínuo de endpoints.

This post is also available in: Português

Diagnóstico que avalia a nível de conformidade com a Lei Geral de Proteção de Dados

Fazer diagnóstico

Ebooks 5 Dicas para evitar sequestro de dados

Nossas 5 dicas fundamentais para evitar sequestro de dados

Baixar eBook

Ebooks 10 dicas essenciais para aquisição de firewalls

Conheça os principais tópicos a serem considerados na aquisição de um firewall.

Baixar eBook

Ebooks Guia Lei Geral de Proteção de Dados

Documento completo para ambientalização à Lei Geral de Proteção de Dados

Baixar eBook

O que é a CVE-2025-5419?

Produtos afetados

Exploração ativa

Atualizações e mitigação

CVE-2022-42475, CVE-2023-27997 e CVE-2024-21762: Fortinet alerta para persistência de acesso após aplicação de correções

Cadastre-se em nossa newsletter