Google expõe falha grave no Chromium que permite execução remota de código
A Google acidentalmente revelou informações sobre uma falha não corrigida no Chromium — base usada por navegadores como Chrome, Edge, Brave e Opera — que permite a execução de código JavaScript mesmo após o fechamento do navegador. A vulnerabilidade, relatada pela pesquisadora Lyra Rebane, poderia ser explorada para transformar computadores em parte de uma botnet sem o conhecimento do usuário.
Tabela de conteúdos
Como a falha foi descoberta
De acordo com o relatório no Chromium Issue Tracker, Rebane identificou o problema em dezembro de 2022. O erro permitia que Service Workers criados por um site malicioso continuassem em execução após o fechamento do navegador. Isso mantinha a máquina vulnerável a execução remota de código (RCE), abrindo brechas para ataques de DDoS ou até o desvio de tráfego.
Segundo Rebane, bastaria visitar uma página comprometida para que o navegador passasse a executar scripts continuamente. Ela descreveu a possibilidade de criar uma “botnet de JavaScript”, composta por milhares de navegadores conectados a um comando remoto.
“É possível obter dezenas de milhares de visitas e transformar cada navegador em um nó ativo, tudo isso sem interação do usuário”, explicou Rebane.
Lyra Rebane, pesquisadora de segurança
Impacto em navegadores baseados no Chromium
A vulnerabilidade afeta essencialmente todos os navegadores construídos sobre o motor Chromium: Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi e Arc. A falha pode ser explorada por meio de scripts persistentes que operam silenciosamente, sem janelas de alerta ou pop-ups.
O erro é particularmente perigoso porque torna possível o uso do navegador fechado como vetor de ataque, permitindo persistência de scripts maliciosos no sistema do usuário. Essa falha é análoga a uma infecção silenciosa de malware.
Erro de exposição do Google e falha no processo de correção
Apesar de reconhecida pela equipe do Google em 2022, a correção levou mais tempo do que o esperado. Em fevereiro de 2026, o bug foi marcado como resolvido, mas logo reaberto. Ainda assim, recebeu uma recompensa de segurança de US$ 1.000 via Vulnerability Rewards Program (VRP).
No entanto, em maio de 2026, ao tornar público o registro da falha — após 14 semanas de fechamento —, detalhes críticos foram liberados por engano. Rebane percebeu o problema ao testar o patch na versão Chrome Dev 150 e no Edge 148, confirmando que a vulnerabilidade persistia.
A pesquisadora reagiu em sua conta no Mastodon: “Percebi que o problema ainda funciona. E pior — o Edge nem mostra aviso de download. É uma execução de JavaScript completamente silenciosa, mesmo após fechar o navegador!”.
Consequências de segurança e reação da comunidade
A revelação criou apreensão entre especialistas em segurança. A Ars Technica destacou que o vazamento deixou milhões de usuários em potencial risco até que o patch definitivo fosse lançado. Embora a falha não ultrapasse as barreiras de segurança do navegador, a execução persistente de código aumenta o potencial de abuso.
De acordo com Rebane, criar uma botnet grande ainda exigiria esforço técnico significativo, mas o acesso às informações de exploit torna ataques pontuais ou testes destrutivos muito mais prováveis.
A Google ainda não emitiu resposta oficial até o momento da publicação. A expectativa é que uma atualização de emergência seja distribuída nos próximos dias para corrigir completamente a vulnerabilidade.
Implicações para a segurança digital
Essa falha demonstra o perigo das vulnerabilidades persistentes em código-base compartilhado. Como todos os principais navegadores utilizam o Chromium, um único erro pode ter impacto global. Além disso, a exposição inadvertida pela própria desenvolvedora reforça preocupações com a dependência excessiva da automação de processos de revisão de bugs.
Especialistas recomendam que os usuários mantenham seus navegadores atualizados e evitem sites desconhecidos até a liberação do patch oficial. Administradores devem monitorar tráfego anômalo e revisar políticas de execução de scripts em endpoints corporativos.
Considerações finais
O incidente ressalta como uma cadeia de pequenos descuidos — atraso de correção, liberação automática de registros e validação falha — pode gerar uma crise de segurança em escala global. O caso do Chromium é um alerta sobre transparência e responsabilidade no ciclo de desenvolvimento de softwares de código aberto.
Como essa falha afeta o Google Chrome e outros navegadores baseados em Chromium?
Essa vulnerabilidade permite que o JavaScript continue em execução mesmo após o fechamento do navegador, afetando Google Chrome, Microsoft Edge, Brave, Opera e outros. Isso pode ser explorado para ataques como DDoS e controle remoto de tráfego.
O usuário pode se proteger dessa falha enquanto o patch não é liberado?
Recomenda-se manter o navegador sempre atualizado, evitar visitar sites suspeitos e habilitar medidas de isolamento de processos e extensões confiáveis. Desativar o Service Worker em configurações avançadas pode reduzir o risco.
A falha permite o roubo de dados pessoais do usuário?
De acordo com Lyra Rebane, a vulnerabilidade não ultrapassa as barreiras de segurança do navegador, então não acessa arquivos locais ou e-mails. Entretanto, ainda representa uma ameaça devido à execução remota e persistência silenciosa.
