# CVE-2026-3910 - Google Chrome V8 Buffer Bounds Violation > CVSS: 8.8 · EPSS: ~88% · Vendor: Google · Patch: Sim · CISA KEV: Sim (2026-03-13) · **Prazo: 2026-03-27 (URGENTE)** ## Resumo **CVE-2026-3910** é uma vulnerabilidade crítica de violação de limites de buffer (Buffer Bounds Violation) no mecanismo JavaScript V8 do **Google Chrome**. A falha permite que conteúdo web malicioso execute código arbitrário dentro do processo renderer do Chrome (sandbox), com potencial de escape de sandbox em cadeia com outras vulnerabilidades. Esta é uma das duas zero-days do Chrome corrigidas em 2026-03-13 - a outra sendo [[cve-2026-3909|CVE-2026-3909]] (Skia, CVSS 8.8). Ambas foram adicionadas ao CISA KEV com prazo de remediação em **2026-03-27** - uma semana a partir de hoje. O prazo está próximo e navegadores Chrome não atualizados automaticamente em ambientes corporativos representam risco imediato. **Pontuação de risco:** - CVSS v3.1: **8.8** (Alto) - EPSS: **~88%** de probabilidade de exploração nos próximos 30 dias - CISA KEV: adicionado em **2026-03-13** - prazo de remediação: **2026-03-27 (4 dias)** - Exploit público: RCE dentro de sandbox via HTML crafted - **zero-day** ## Impacto Técnico Um atacante que explore esta vulnerabilidade com sucesso pode: - **RCE no renderer:** executar código arbitrário no processo renderer do Chrome dentro da sandbox - **Escape de sandbox:** em cadeia com outras falhas, escapar da sandbox para o sistema operacional - **Comprometimento via navegação:** comprometer o dispositivo do usuário apenas com visita a página maliciosa - **Roubo de dados:** acessar sessões, cookies, senhas e dados de navegação **Impacto para organizações LATAM/Brasil:** O Chrome domina o mercado de navegadores no Brasil com aproximadamente **75% de market share**. A falha afeta todos os usuários de Chrome em Windows, macOS e Linux que não aplicaram a atualização de 2026-03-13. O risco é **muito alto** em ambientes corporativos onde políticas de atualização automática não estão habilitadas. Qualquer setor com usuários de navegador é afetado - especialmente [[financial]] e [[government]]. > [!latam] Contexto LATAM - Chrome V8 Zero-Day > O Brasil tem o maior número absoluto de usuários de Chrome na América Latina, com mais de 150 milhões de internautas usando o navegador diariamente. Ambientes corporativos com gestão centralizada de endpoints (via Intune, SCCM ou Jamf) devem forçar atualização imediata. O vetor de entrega via links maliciosos em WhatsApp e e-mails de phishing é amplamente utilizado por grupos criminosos no Brasil - zero-days de browser são frequentemente encadeados com malware bancário (como Grandoreiro e Mekotio) que dominam o cenário de ameaças LATAM. ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | Google | Chrome (Windows) | antes do patch 2026-03-13 | versão pós-13/03/2026 | | Google | Chrome (macOS) | antes do patch 2026-03-13 | versão pós-13/03/2026 | | Google | Chrome (Linux) | antes do patch 2026-03-13 | versão pós-13/03/2026 | | Google | Chromium (baseado) | versões afetadas | verificar individual | **Não afetado:** Chrome atualizado para versão posterior à públicada em 2026-03-13; navegadores baseados em Chromium com patch próprio aplicado. ## Patch e Mitigação **Patch oficial:** - Advisory: Google Chrome Release - 2026-03-13 - Data de lançamento do patch: **2026-03-13** **Como aplicar:** 1. Chrome: Menu → Ajuda → Sobre o Google Chrome → verificar e instalar atualizações 2. Em ambientes gerenciados: forçar atualização via Group Policy ou endpoint management 3. Verificar versão atual e comparar com última versão disponível no chrome.google.com/releases 4. Reiniciar o Chrome após atualização **Mitigações temporárias:** - Habilitar atualizações automáticas do Chrome em todos os endpoints gerenciados - Considerar uso de extensões de segurança (uBlock Origin) para bloquear sites maliciosos - Implementar filtragem de DNS para bloquear domínios de exploração conhecidos - Em ambientes críticos: considerar desabilitar JavaScript em sites não confiáveis ## Exploração Ativa **Status atual:** ⚠️ **ZERO-DAY - EXPLORAÇÃO ATIVA CONFIRMADA - PRAZO CISA KEV: 2026-03-27** **Evidências de uso em ataques:** - Google: corrigiu como zero-day com exploração ativa confirmada - 2026-03-13 - The Hacker News: documentou exploração ativa junto com [[cve-2026-3909|CVE-2026-3909]] (Skia) - 2026-03-13 - CISA KEV: adicionado em 2026-03-13, prazo federal 2026-03-27 ## CISA KEV Esta vulnerabilidade foi adicionada ao **CISA Known Exploited Vulnerabilities (KEV) Catalog** em **2026-03-13**. - **Prazo de remediação para agências federais EUA:** **2026-03-27** (4 dias!) - **Recomendação para o setor privado:** atualizar Chrome imediatamente em todos os endpoints - zero-day em exploit ativo - **Referência:** [CISA KEV - CVE-2026-3910](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) ## Notas Relacionadas **CVEs relacionados:** [[cve-2026-3909|CVE-2026-3909]] · [[cve-2025-43510|CVE-2025-43510]] · [[cve-2025-43520|CVE-2025-43520]] **TTPs relacionadas:** [[t1189-drive-by-compromise|T1189]] · [[t1203-exploitation-client-execution|T1203]] · [[t1059-command-scripting-interpreter|T1059]] **Setores em risco:** [[financial]] · [[government]] · [[technology]] ## Referências - [The Hacker News - Google Fixes Two Chrome Zero-Days](https://thehackernews.com/2026/03/google-fixes-two-chrome-zero-days.html) - 2026-03-13 - [CISA KEV Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - 2026-03-13