# CVE-2026-3909 - Google Chrome Skia Zero-Day (Out-of-Bounds Write) > [!danger] CVSS: 8.8 (Alto) · Vendor: Google · CISA KEV: Sim (2026-03-13) · Prazo: 2026-03-27 · Exploração in-the-wild confirmada ## Visão Geral Conteúdo a ser adicionado - nota referênciada pelo feed CTI. ## Resumo Técnico **CVE-2026-3909** é uma vulnerabilidade **zero-day** de **escrita fora dos limites** (CWE-787 - Out-of-Bounds Write) na **biblioteca gráfica Skia** do **[[Google Chrome]]**. A falha pode ser acionada por uma página HTML maliciosa, levando a corrupção de memória heap que pode ser explorada para execução de código arbitrário no processo do renderizador. A vulnerabilidade foi descoberta e reportada pelo **Google Threat Analysis Group (TAG)**, sendo corrigida em patch de emergência em 13 de março de 2026. O CISA adicionou a vulnerabilidade ao KEV Catalog no mesmo dia com prazo de 14 dias para remediação. **Pontuação de risco:** - CVSS v3.1: **8.8** (Alto) - EPSS: **~90%** - 97° percentil - CISA KEV: **adicionado em 2026-03-13** - prazo: **2026-03-27** - Exploração in-the-wild: **confirmada pelo Google TAG** > [!warning] Esta CVE é um dos dois zero-days do Chrome corrigidos simultaneamente em março de 2026 - ver também **[[cve-2026-3910|CVE-2026-3910]]** (Chrome V8 zero-day, corrigido no mesmo patch). ## Exploração A exploração de CVE-2026-3909 ocorre quando o navegador processa uma página HTML especialmente construída que aciona o bug de escrita fora dos limites na biblioteca Skia (motor gráfico 2D do Chrome). A corrupção de memória resultante pode ser usada por um atacante para execução de código no processo do renderizador do Chrome. **Características:** - **Vetor:** usuário visita página web maliciosa ou recebe link via e-mail/mensagem - **Complexidade:** baixa - basta carregar a página - **Escopo:** processo do renderizador Chrome (sandbox); escalada para fora da sandbox pode requerer técnica adicional - **Sem interação adicional:** apenas visualizar a página é suficiente para acionar o exploit **Detalhes técnicos:** Skia é a biblioteca gráfica 2D multiplataforma usada pelo Chrome (e por Chromium, Edge, Opera, etc.) para renderização de elementos visuais. Uma escrita fora dos limites no heap pode sobrescrever dados de controle de memória adjacentes, permitindo controle de fluxo de execução. **Descoberta:** O Google TAG não divulgou detalhes completos do exploit para evitar replicação antes de atualizações amplas. O ataque foi detectado em exploração ativa antes do patch. ## Impacto - **Execução de código no processo do renderizador:** controle do processo de renderização de conteúdo web - **Potencial escape de sandbox:** em combinação com vulnerabilidade de elevação (como CVE-2026-3910), pode resultar em execução completa no sistema host - **Acesso a dados do usuário:** cookies, senhas salvas, histórico de navegação, sessões autenticadas - **Drive-by download:** exploração sem qualquer interação do usuário além de visitar a página **Impacto LATAM/Brasil:** Chrome é o navegador dominante no Brasil com participação de mercado superior a 70%. O impacto potencial desta zero-day é massivo, afetando usuários corporativos e pessoais. Vetores de ataque via links maliciosos em WhatsApp e e-mail são especialmente relevantes no contexto brasileiro. > [!latam] Contexto LATAM - Skia Zero-Day Chrome > A biblioteca Skia, afetada por esta CVE, é o motor gráfico de todos os navegadores Chromium no Brasil - incluindo Chrome, Edge e Brave. A descoberta pelo Google TAG (Threat Analysis Group) sugere uso em ataques direcionados por atores sofisticados, possívelmente estado-nação. No contexto LATAM, zero-days em Chrome são frequentemente adquiridos por operadores de spyware que têm histórico de operar na região. Além disso, esta CVE foi corrigida junto com o CVE-2026-3910 (V8) no mesmo patch de emergência de 13/03/2026 - indicando possível encadeamento das duas falhas para escape de sandbox completo. Prazo CISA KEV de 14 dias (vencido em 27/03/2026) sublinha urgência máxima. ## Mitigação **Atualização imediata:** - Atualizar Chrome para **versão 146.0.7680.80 ou superior** - Verificar versão: Menu `⋮ > Ajuda > Sobre o Google Chrome` - A atualização é aplicada automaticamente na maioria dos casos - verificar se a reinicialização foi realizada após download **Para ambientes corporativos:** - Forçar atualização via política de grupo (GPO) ou MDM (Intune, etc.) - Verificar versões em todos os endpoints via inventário de ativos **Mitigações adicionais:** - Habilitar **Safe Browsing** no nível mais alto no Chrome - Monitorar processos filhos suspeitos gerados pelo `chrome.exe` - Considerar uso de sandbox adicional (Windows Sandbox, containers) para navegação de alto risco ## Notas Relacionadas **Zero-day corrigido simultaneamente:** [[cve-2026-3910|CVE-2026-3910]] - Chrome V8 zero-day (mesmo patch de emergência de março 2026) **TTPs relacionadas:** [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]] · [[t1203-exploitation-client-execution|T1203 - Exploitation for Client Execution]] · [[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]] **Setores em risco:** Todos os setores - vulnerabilidade de browser afeta usuários em qualquer contexto **Contexto:** A descoberta pelo Google TAG sugere uso em ataques altamente direcionados (estado-nação ou grupos sofisticados), não exploração massiva oportunística ## Referências - [NVD - CVE-2026-3909](https://nvd.nist.gov/vuln/detail/CVE-2026-3909) - [Google Chrome Releases - Emergency Patch 2026-03-13](https://chromereleases.googleblog.com/) - [CISA KEV Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [The Hacker News - Google Fixes Two Chrome Zero-Days](https://thehackernews.com/2026/03/google-fixes-two-chrome-zero-days.html)