chrome - RunkIntel

# Chrome > [!high] Google Chrome — navegador com ~65% de market share global e histórico de zero-days explorados; em 2026 dois novos zero-days nos motores Skia e V8 foram corrigidos em março como o 3º par do ano. ## Visão Geral **Google Chrome** é o navegador web mais utilizado no mundo, com aproximadamente **65% de market share global** em todos os segmentos — desktop, mobile e corporativo. Sua predominância o torna o alvo mais valioso para exploração via navegador: um único zero-day Chrome pode atingir bilhões de dispositivos simultaneamente. O Chrome é baseado no projeto open-source Chromium e compartilha seu motor de renderização com Edge (Microsoft), Opera, Brave e dezenas de outros navegadores derivados. Os dois principais vetores de exploração no Chrome são o **motor JavaScript V8** e o **motor gráfico Skia**: o V8 processa código JavaScript com técnicas de JIT (Just-In-Time compilation) que historicamente geram classes de vulnerabilidades complexas de corrigir (type confusion, use-after-free, bounds checking), enquanto o Skia processa renderização gráfica de baixo nível com acesso a operações de memória de alto desempenho. Em março de 2026, [[cve-2026-3909|CVE-2026-3909]] (Skia, out-of-bounds write, CVSS 8.8) e [[cve-2026-3910|CVE-2026-3910]] (V8, implementação inadequada, CVSS 8.8) foram o **terceiro par de zero-days Chrome explorados em 2026**, sinalizando exploração ativa sistemática do navegador por atores de ameaça sofisticados. O padrão de exploração para zero-days Chrome tipicamente envolve páginas web armadilhadas, anúncios maliciosos (malvertising) ou links de phishing que redirecionam para exploits. Em ambientes corporativos, o risco é composto pela lentidão de ciclos de patch em endpoints gerenciados. > [!latam] Relevância Brasil/LATAM > O Brasil tem uma das maiores taxas de penetração de Chrome no mundo. Zero-days no Chrome são frequentemente usados em campanhas de espionagem corporativa e roubo de credenciais bancárias no LATAM. Campanhas de malvertising exploram Chrome para instalar banking trojans, categoria de malware historicamente prevalente no Brasil. ## Vulnerabilidades Conhecidas | CVE | CVSS | Exploração | Patch | Data | |-----|------|------------|-------|------| | [[cve-2026-3909\|CVE-2026-3909]] | 8.8 | Ativa - zero-day, Skia OOB write | Sim (146.0.7680.76) | 2026-03-13 | | [[cve-2026-3910\|CVE-2026-3910]] | 8.8 | Ativa - zero-day, V8 engine | Sim (146.0.7680.76) | 2026-03-13 | | [[cve-2026-2441\|CVE-2026-2441]] | 8.8 | Exploração ativa | Sim | 2026-02 | %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", cve-id AS "CVE", cvss-score AS "CVSS", exploit-type AS "Exploração", patch-date AS "Patch" FROM "vulnerabilities" WHERE contains(product, "Chrome") SORT patch-date DESC ``` %% ## TTPs Associadas - [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]] - exploração via navegação em sites maliciosos - [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]] - execução via motor V8 ou Skia - [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] - links de phishing apontando para exploits Chrome ## Detecção e Defesa - Manter Chrome atualizado automaticamente via Google Update — não desabilitar atualizações automáticas - Em ambientes corporativos, usar Chrome Enterprise com políticas de atualização forçada - Monitorar versão do Chrome nos endpoints via SIEM/MDM — alertar para versões abaixo da corrente - Aplicar [[m1050-exploit-protection|M1050 - Exploit Protection]] e sandboxing rigoroso nos endpoints - Aplicar [[m1051-update-software|M1051 - Update Software]] como controle primário e não negociável - Considerar isolamento de navegador (browser isolation) para usuários de alto risco ## Setores Afetados - [[financial|Financeiro]] - alvos prioritários de campanhas de roubo de credenciais bancárias - [[government|Governo]] - espionagem via exploits de navegador de funcionários públicos - [[technology|Tecnologia]] - engenheiros com acesso a credenciais e sistemas críticos - [[healthcare|Saúde]] - acesso a sistemas de prontuário eletrônico via browser ## Referências - [Chrome Stable Channel Update for Desktop - Google Blog](https://chromereleases.googleblog.com) - [NVD - CVE-2026-3909](https://nvd.nist.gov/vuln/detail/CVE-2026-3909) - [NVD - CVE-2026-3910](https://nvd.nist.gov/vuln/detail/CVE-2026-3910) ## Notas Relacionadas **Vendor:** [[_google|Google]] **CVEs:** [[cve-2026-3909|CVE-2026-3909]], [[cve-2026-3910|CVE-2026-3910]], [[cve-2026-2441|CVE-2026-2441]] **TTPs:** [[t1189-drive-by-compromise|T1189]], [[t1203-exploitation-for-client-execution|T1203]], [[t1566-002-spearphishing-link|T1566.002]] **Setores:** [[financial|Financeiro]], [[government|Governo]], [[technology|Tecnologia]]