Google corrige Chrome Zero-Day usado em campanha de espionagem

A Google lançou uma correcção de emergência para corrigir uma vulnerabilidade grave no Chrome que estava a ser usada em ataques de espionagem.

A vulnerabilidade, identificada como CVE-2025-2783, permitia que atacantes ultrapassassem a proteção sandbox do Chrome - que tem por missão criar um ambiente isolado que impede o acesso a informação do sistema e de outros programas - e instalassem spyware para roubo de dados. A campanha parecia ter como alvos principais jornalistas, meios de comunicação, e instituições educacionais na Rússia.

Os investigadores Boris Larin e Igor Kuznetsov da Kaspersky descobriram a falha, que consideraram bastante intrigante pois, sem que fosse feito nada de aparentemente perigoso, os atacantes conseguiram ultrapassar totalmente a sandbox do Chrome. A Google disponibilizou a correcção na versão 134.0.6998.178 do Chrome para utilizadores do canal Stable Desktop, mas a mesma poderá demorar semanas a chegar a todos os utilizadores.

A Kaspersky revelou que esta vulnerabilidade foi usada na campanha de espionagem conhecida como Operation ForumTroll, através de emails de phishing que convidavam vítimas para um evento fictício chamado Primakov Readings.

Esta é a primeira falha zero-day corrigida no Chrome em 2025. Em 2024 o Chrome foi alvo de dez vulnerabilidades zero-day, pelo que será interessante analisar se este será um ano em que se vá ter mais, ou menos, vulnerabilidades - ou se se irá manter a média.