# CVE-2025-6558 — Google Chromium ANGLE/GPU Sandbox Escape > [!critical] > CVSS 8.8 (HIGH) | Exploração ativa confirmada | CISA KEV | Prazo: 2025-08-12 | Patch disponível: Chrome 138.0.7204.157 ## Visão Geral CVE-2025-6558 é uma vulnerabilidade de validação insuficiente de entrada nos componentes ANGLE (Almost Native Graphics Layer Engine) e GPU do Google Chrome, que afeta versões anteriores à 138.0.7204.157. A falha permite que um atacante remoto escape da sandbox do navegador por meio de uma página HTML especialmente criada, potencialmente resultando em execução de código arbitrário no sistema subjacente. A vulnerabilidade tem gravidade classificada como HIGH pela equipe do Chromium Security, com CVSS 8.8 pelo NVD. O CISA adicionou este CVE ao catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) em 22 de julho de 2025, com prazo de mitigação para agências federais até 12 de agosto de 2025. O impacto é amplo, pois o mecanismo ANGLE é compartilhado entre Chrome, Safari, iOS/iPadOS, macOS, WebKitGTK e WPE WebKit. Isso significa que a superfície de ataque vai além do navegador Chrome e atinge dispositivos Apple e sistemas baseados em Linux que utilizam o WebKit. A exploração no mundo real foi confirmada como ativa, tornando esta vulnerabilidade de alta prioridade para remediação imediata. ## Produtos Afetados | Fabricante | Produto | Versões Afetadas | Versão Corrigida | |-----------|---------|-----------------|-----------------| | Google | Chrome (Desktop) | < 138.0.7204.157 | 138.0.7204.157 | | Apple | Safari | < 18.6 | 18.6 | | Apple | iOS / iPadOS | < 18.6 | 18.6 | | Apple | macOS | < 15.6 | 15.6 | | Apple | visionOS | < 2.6 | 2.6 | | Apple | watchOS | < 11.6 | 11.6 | | WebKitGTK | WebKitGTK | < 2.48.0 | 2.48.0 | | WPE WebKit | WPE WebKit | < 2.48.0 | 2.48.0 | | Debian | debian_linux 11.0 | 11.0 | Verificar atualizações Debian | ## Métricas CVSS v3.1 | Métrica | Valor | |---------|-------| | Base Score | 8.8 (HIGH) | | Vetor de Ataque | Network | | Complexidade | Low | | Privilégios Necessários | None | | Interação do Usuário | Required | | Escopo | Unchanged | | Impacto Confidencialidade | High | | Impacto Integridade | High | | Impacto Disponibilidade | High | ## Status de Exploração - **Exploração ativa:** Sim — confirmada no mundo real (julho 2025) - **PoC público:** Não confirmado publicamente (issue Chromium #427162086 com acesso restrito) - **Grupos conhecidos explorando:** Nenhum grupo APT específico atribuído publicamente - **Desde:** Julho 2025 ## CISA KEV Esta vulnerabilidade consta no catálogo CISA Known Exploited Vulnerabilities: - **Data de adição ao KEV:** 2025-07-22 - **Prazo de mitigação (agências federais):** 2025-08-12 - **Nome CISA:** Google Chromium ANGLE and GPU Improper Input Validation Vulnerability - **Ação obrigatória:** Aplicar mitigações conforme instruções do fabricante, seguir orientações BOD 22-01 para serviços em nuvem, ou descontinuar uso se mitigações não estiverem disponíveis. ## Mitigação ### Patch Atualizar imediatamente para as versões corrigidas: - **Chrome:** atualizar para 138.0.7204.157 ou superior via `chrome://settings/help` - **Safari/iOS/macOS:** instalar atualizações via Preferências do Sistema → Atualização de Software - **Linux (WebKitGTK/WPE):** atualizar via gerenciador de pacotes da distribuição Advisory oficial: [Chrome Releases - Stable Channel Update July 15, 2025](https://chromereleases.googleblog.com/2025/07/stable-channel-update-for-desktop_15.html) ### Workaround Não existe workaround efetivo que substitua a atualização. Em ambientes corporativos, considerar: - Bloquear acesso a domínios não confiáveis via proxy/firewall - Implementar política de atualização automática do Chrome ## Contexto de Ameaça A vulnerabilidade é classificada como sandbox escape, uma das classes mais severas em navegadores, pois permite que código malicioso em uma página web ultrapasse as barreiras de isolamento do processo do navegador e interaja com o sistema operacional. O componente ANGLE traduz chamadas OpenGL para APIs nativas (DirectX no Windows, Metal no macOS, Vulkan/OpenGL no Linux), tornando-o um alvo de alto valor para atores de ameaça. A amplitude de produtos afetados — incluindo dispositivos Apple — é incomum e decorre da adoção do ANGLE pelo WebKit como backend de renderização GPU. ### TTPs MITRE ATT&CK - [[T1203 - Exploitation for Client Execution]] — exploração via página HTML maliciosa - [[T1189 - Drive-by Compromise]] — vetor de entrega típico para exploits de navegador - [[T1068 - Exploitation for Privilege Escalation]] — potencial escalada de privilégios pós-escape de sandbox ## Relevância LATAM/Brasil Alta relevância para o Brasil e América Latina. O Google Chrome é o navegador dominante na região, com participação de mercado superior a 70% no Brasil. Organizações dos setores [[financeiro]], [[governo]] e [[tecnologia]] que não mantêm políticas de atualização automática de navegadores estão expostas. Equipes de SOC no Brasil devem verificar versões do Chrome em endpoints gerenciados via telemetria de MDM/EDR e garantir que a versão 138.0.7204.157 esteja implantada. O prazo CISA KEV (agosto 2025) serve como referência de urgência mesmo para organizações não americanas. ## Referências - [NVD - CVE-2025-6558](https://nvd.nist.gov/vuln/detail/CVE-2025-6558) - [Chrome Releases - Stable Channel Update July 15, 2025](https://chromereleases.googleblog.com/2025/07/stable-channel-update-for-desktop_15.html) - [CISA KEV - CVE-2025-6558](https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-6558) - [Chromium Issue #427162086](https://issues.chromium.org/issues/427162086) - [oss-security Mailing List - Aug 2025](http://www.openwall.com/lists/oss-security/2025/08/02/1)