Mês: março 2026

Alerta de segurança: navegadores baseados em Chromium exigem atualização imediata

Duas falhas críticas foram identificadas no navegador Google Chrome e demais navegadores baseados em Chromium: CVE‑2026‑3909 (Skia) e CVE‑2026‑3910 (V8). Ambas já estão sendo exploradas em ataques reais e receberam pontuação CVSS 8.8.

  • CVE‑2026‑3909 – falha de escrita fora dos limites (out‑of‑bounds write) na biblioteca gráfica Skia, podendo levar a corrupção de memória e eventual execução de código arbitrário ao visitar páginas HTML especialmente preparadas.
  • CVE‑2026‑3910 – falha de implementação no motor JavaScript/WebAssembly V8, permitindo execução de código dentro da sandbox do navegador a partir de páginas maliciosas.

Esses tipos de falhas são vetores frequentes de ataques e representam risco significativo para a infraestruturas.

Sobre Navegadores, Skia e V8

Skia é a biblioteca de gráficos 2D usada como motor de renderização (texto, imagens, formas) no Chrome/Chromium, ChromeOS, Android, Flutter e outros produtos, escrita em C++ e mantida pela Google, fornecendo uma camada comum de APIs gráficas multiplataforma.

V8 é o motor de JavaScript e WebAssembly de alto desempenho do Chrome/Chromium (também usado no Node.js), escrito em C++, responsável por analisar, compilar JIT e executar código JavaScript, implementando o padrão ECMAScript e rodando em múltiplas arquiteturas.

Atualmente, mais de 70% dos navegadores desktop usam Chromium devido à compatibilidade com sites modernos. Uma lista não exclusiva inclui: Google Chrome, Microsoft Edge, Brave, Perplexity Comet, Opera e Vivaldi.

Atenção especial deve ser dada aos navegadores agênticos (com capacidades de IA autônoma para tarefas como navegação, compras ou automação) baseados em Chromium/Chrome. Os principais são:

  • Arc Browser: Integra IA para resumir páginas, responder perguntas e gerenciar abas automaticamente.
  • SigmaOS: Agente de IA que navega e executa fluxos de trabalho por comandos naturais.
  • Comet Browser: Focado em automação agêntica para produtividade e tarefas online.
  • Undetectable.io: Chromium modificado para perfis agênticos em multi-contas e anonimato.

Esses usam o motor Blink/V8 do Chromium com extensões de IA, ideais para cenários de automação, mas exigem atualizações essas CVEs recentes.

Solução

Atualização imediata dos navegadores baseados em Chromium.

O Google publicou atualização emergencial do Chrome, corrigindo as duas vulnerabilidades nas versões ≥ 146.0.7680.75 (Windows e Linux) e ≥ 146.0.7680.76 (macOS), com correção específica também para Android.

Navegadores baseados em Chromium (por exemplo, Microsoft Edge, Brave, Opera, Comet, etc) devem receber atualizações equivalentes de seus respectivos fornecedores.

Outras ações recomendadas

  • Inventariar estações, notebooks e servidores que utilizem Chrome ou outros navegadores baseados em Chromium, incluindo quiosques, laboratórios e máquinas de uso compartilhado.
  • Acelerar o ciclo de patching para endpoints críticos, usuários privilegiados, equipes administrativas e ambientes com maior exposição à navegação externa.
  • Reforçar monitoramento em EDR, proxy e firewall para comportamentos suspeitos originados de processos de navegador (spawns de shells, conexões persistentes incomuns após crash do navegador, acesso a páginas com JavaScript fortemente ofuscado ou imagens/payloads atípicos).
  • Divulgar orientação aos usuários para reiniciar o navegador após a atualização, evitar atrasar a instalação de patches e manter atenção a comportamentos anômalos do browser (travamentos repetidos, janelas estranhas, redirecionamentos inesperados).

Enquanto a correção não for plenamente aplicada, estações desatualizadas devem ser consideradas em estado de risco elevado para comprometimento via navegação web, haja visto que nesse momento (13/3/2026 18:30 GMT-3) há indícios de exploração ativa.

Nota de transparência: Este artigo NÃO utilizou de ferramentas de Inteligência Artificial Generativa para sua escrita, exceto para realização de pesquisa e validação de referências. Os demais o conteúdos foram elaborados e revisados pelo autor.

Atualizações ambiente Microsoft Windows 11 / Server

As atualizações mensais da Microsoft, conhecidas como Patch Tuesday, tem uma importante função, corrigir vulnerabilidades que podem ser exploradas por atacantes para comprometer ativos de ambientes corporativos ou pessoais. A última atualização, março de 2026 é um exemplo claro dos riscos de se manter sistemas desatualizados.

Conforme o release note da atualização, corrige 79 vulnerabilidades de segurança, incluindo duas falhas zero-day divulgadas publicamente, além de vulnerabilidades críticas no Windows 11, Windows Server, Microsoft Office, SQL Server e .NET.

Em detalhe temos:

  • 46 vulnerabilidades de Elevação de Privilégio (EoP)
  • 18 vulnerabilidades de Execução Remota de Código (RCE)
  • 10 vulnerabilidades de Divulgação de Informação
  • 4 vulnerabilidades de Negação de Serviço (DoS)
  • 4 vulnerabilidades de Spoofing
  • 2 vulnerabilidades de Bypass de Recursos de Segurança

Pontos de atenção

Vulnerabilidades Zero-Day
Duas vulnerabilidades zero-day divulgadas publicamente, ou seja, falhas cujo funcionamento já era conhecido antes da liberação do patch.

    CVE-2026-21262 – SQL Server (Elevação de Privilégio)
    Permite que um usuário autenticado eleve seus privilégios para SQL Admin (sysadmin) remotamente. Essa falha pode resultar em controle total de bases de dados críticas, comprometendo confidencialidade e integridade das informações.

    CVE-2026-26127 – .NET (Negação de Serviço)
    Falha causada por leitura fora dos limites de memória, permitindo que um atacante cause indisponibilidade de serviços que dependem de aplicações .NET.

    Vulnerabilidades Críticas no Microsoft Office

      CVE-2026-26110 e CVE-2026-26113 – Microsoft Office (RCE)
      Essas vulnerabilidades podem ser exploradas apenas com a visualização do arquivo no Painel de Visualização, sem que o usuário precise abrir o documento. Isso representa um risco elevado de ataques por phishing e e-mails maliciosos.

      CVE-2026-26144 – Microsoft Excel (Information disclosure)
      Permite vazar dados sensíveis e chamou atenção por possível exploração via Microsoft Copilot.

      Elevação de Privilégio no Windows e Windows Server
      A maioria das vulnerabilidades corrigidas está relacionada à elevação de privilégio, afetando componentes centrais do Windows, como:

        Windows Kernel, Windows SMB Server, Winlogon e Windows DWM Core Library.

        Alerta de segurança: vulnerabilidade crítica no Nginx UI

        Foi divulgada uma vulnerabilidade crítica no Nginx UI, painel web para administração do servidor web Nginx, registrada como CVE-2026-27944 e com pontuação CVSS 9.8 (Critical).

        NOTA IMPORTANTE:Nginx UIé um projeto open-source complementar e não oficial ao Nginx, hospedado no GitHub em 0xJacky/nginx-ui. Ele é uma interface gráfica para administração do Nginx e possui cerca de 9.6k estrelas de avaliação no GitHub, mas não há dados públicos de adoção em larga escala, contrastando com o market share global do Nginx core que é cerca de 33% dos servidores web existentes na Internet.

        Se você não utiliza Nginx UI você pode parar de ler esse alerta nesse pronto. Caso contrário, continue.


        A falha do Nginx UI permite que um atacante não autenticado baixe e decripte um full backup do sistema, expondo credenciais, tokens de sessão, chaves privadas SSL/TLS e configurações completas do Nginx e do próprio Nginx UI.

        Fontes mencionam explicitamente que pesquisadores já lançaram um script PoC que automatiza o envio do GET para /api/backup, extrai a chave e o IV do cabeçalho X-Backup-Security e faz a decriptação local do backup.

        Com isso, a exploração é de baixa complexidade e totalmente automatizável, o que aumenta bastante a urgência de correção

        A ação mais imediata, rápida e efetiva é:

        Atualizar imediatamente o Nginx UI para a versão 2.3.3 ou superior, que contém o patch oficial da CVE‑2026‑27944 e corrige tanto a falta de autenticação no /api/backup quanto a exposição das chaves de criptografia no cabeçalho X-Backup-Security.

        Se a atualização não puder ser aplicada na hora, o mínimo é bloquear o acesso ao /api/backup e à interface do Nginx UI a partir de redes não confiáveis (Internet) via firewall, ACL ou reverse proxy, até concluir o patch.

        Caso a solução imediata seja viável, ela resolve o problema. Continue lendo se quiser entender os detalhes.

        Resumo técnico da vulnerabilidade

        O Nginx UI expõe um endpoint de backup em /api/backup, concebido originalmente para que administradores autenticados baixem backups criptografados do sistema.
        Em versões anteriores à 2.3.3, este endpoint pode ser acessado sem qualquer autenticação, caracterizando um caso clássico de Missing Authentication for Critical Function (CWE-306).

        Além da ausência de autenticação, o endpoint retorna no cabeçalho HTTP X-Backup-Security as informações necessárias para decriptar o backup (chaves/segredo de criptografia), o que neutraliza totalmente a proteção oferecida pela criptografia aplicada ao arquivo.

        Na prática, um atacante precisa apenas enviar uma requisição HTTP para /api/backup, receber o arquivo de backup e ler a chave de descriptografia no cabeçalho da resposta para ter acesso imediato a todos os dados sensíveis contidos ali.

        De acordo com os advisories públicos, o backup pode conter:

        • Credenciais de usuários do Nginx UI.
        • Tokens de sessão.
        • Chaves privadas SSL/TLS.
        • Arquivos de configuração do Nginx.
        • Demais segredos e parâmetros sensíveis do ambiente.

        Impacto

        O impacto é crítico em qualquer cenário em que o Nginx UI esteja acessível a partir de redes não confiáveis (por exemplo, exposto diretamente à Internet).
        Um comprometimento via CVE-2026-27944 tende a resultar em comprometimento completo da instância de Nginx UI e potencialmente dos serviços HTTP(s) servidos pelo Nginx, uma vez que chaves privadas e configurações podem ser reutilizadas para ataques de hijack, impersonation e movimento lateral.

        Como já existe código de prova de conceito público para exploração, o nível de risco aumenta e a janela entre divulgação e exploração em massa tende a ser curta.

        Versões afetadas e correção

        • Produto afetado: Nginx UI (0xJacky/nginx-ui).
        • Versões vulneráveis: todas as versões anteriores à 2.3.3.
        • Versão corrigida: 2.3.3, na qual o endpoint /api/backup passa a exigir autenticação adequada e deixa de expor as chaves de criptografia no cabeçalho de resposta.

        Os mantenedores recomendam atualização imediata para a versão 2.3.3; distribuições e fornecedores de appliances podem liberar patches ou backports específicos, portanto também é importante acompanhar os comunicados do seu fornecedor.

        Relação com vulnerabilidades anteriores

        Esta não é a primeira vez que o Nginx UI é alvo de vulnerabilidades severas: em 2024 foi divulgada a CVE-2024-22198, que permitia execução de comandos arbitrários autenticados ao abusar configurações expostas na página Home > Preference, como o parâmetro Terminal Start Command.

        Embora esse bug exigisse autenticação (PR:L), ele mostrava um padrão de exposição de funções sensíveis via API, exploradas através de requisições diretas e não necessariamente pela UI, algo que volta a aparecer na CVE-2026-27944 com impacto ainda maior por ser não autenticada.

        Referências: