Fevereiro de 2026 trouxe uma coincidência rara: Google e Apple publicaram patches para vulnerabilidades zero-day na mesma semana, ambas já exploradas em ataques reais. Para quem desenvolve para web ou mobile, as duas falhas merecem atenção imediata.

O Chrome corrigiu a primeira zero-day do ano no navegador. A Apple, por sua vez, reconheceu que a falha no iOS foi usada em ataques descritos como "extremamente sofisticados" contra alvos específicos. Vamos aos detalhes.

Chrome: falha no CSS permite execução de código

A vulnerabilidade CVE-2026-2441 recebeu CVSS 8.8 e afeta o processamento de fontes CSS no Chrome. Trata-se de um bug do tipo use-after-free: um objeto é desalocado da memória mas continua acessível por um ponteiro pendente, permitindo que um atacante manipule a memória do processo e execute código arbitrário.

Na prática, basta o usuário acessar uma página maliciosa para acionar o exploit. O código roda dentro do sandbox do navegador, mas falhas desse tipo frequentemente servem como primeiro elo de uma cadeia de exploits mais complexa.

O pesquisador Shaheen Fazim reportou a falha em 11 de fevereiro. O Google confirmou que "um exploit para CVE-2026-2441 existe em estado selvagem" e lançou a correção nas versões 145.0.7632.75/76 para Windows e macOS, e 145.0.7632.75 para Linux. É a primeira zero-day ativamente explorada no Chrome em 2026.

Apple: ataque sofisticado via corrupção de memória

A CVE-2026-20700, com CVSS 7.8, é uma falha de corrupção de memória no dyld, o Dynamic Link Editor da Apple. Um atacante com capacidade de escrita em memória pode explorar a vulnerabilidade para executar código arbitrário no dispositivo.

A Apple foi direta no comunicado: a falha "pode ter sido explorada em um ataque extremamente sofisticado contra indivíduos específicos" em versões do iOS anteriores à 26.3. Quem descobriu o bug foi o Google Threat Analysis Group (TAG), o que sugere um contexto de espionagem direcionada.

As correções chegaram no iOS 26.3, iPadOS 26.3, macOS Tahoe 26.3, tvOS 26.3, watchOS 26.3 e visionOS 26.3. Vale lembrar que o TAG já havia identificado, na mesma investigação, a CVE-2025-43529 (CVSS 9.8), um use-after-free no WebKit corrigido pela Apple em dezembro de 2025 no ciclo do iOS 26.2. Ambas as falhas compartilham o mesmo vetor: conteúdo web manipulado que leva à execução de código.

O que desenvolvedores devem fazer agora

As duas vulnerabilidades têm um ponto em comum: o vetor de ataque é conteúdo web. Uma página maliciosa pode acionar tanto o bug do Chrome quanto o do WebKit no Safari. Para quem desenvolve e testa aplicações diariamente em navegadores e dispositivos, o risco é real.

Ações práticas:

  • Atualizar o Chrome para a versão 145.0.7632.75 ou superior. Em ambientes corporativos com gerenciamento centralizado, verificar se a política de updates está propagando a versão corrigida
  • Atualizar dispositivos Apple para iOS/iPadOS 26.3, macOS Tahoe 26.3 e demais plataformas listadas. Desenvolvedores mobile que testam em dispositivos físicos precisam garantir que o firmware esteja atualizado
  • Revisar pipelines de CI/CD que usam Chrome headless para testes end-to-end. Imagens Docker com versões antigas do Chromium também estão vulneráveis
  • Monitorar advisories diretamente, especialmente enquanto a CISA opera com capacidade reduzida devido ao shutdown parcial do DHS desde 14 de fevereiro

Zero-days com exploits ativos não são teóricos. Atualizar é a única defesa efetiva.

Referências pesquisadas nesta publicação