CVE-2025-14174 é um crítico de 0 dia no motor gráfico ANGLE do Chromium que permite acesso fora dos limites de memória via página HTML maliciosa, com potencial para execução remota de código em navegadores baseados em Chromium e já listado no catálogo KEV da CISA.
O que é uma vulnerabilidade
Ó erro está no ANGLE (Almost Native Graphics Layer Engine), a camada que traduz chamadas OpenGL ES para a API gráfica nativa usada por Chrome, Edge, Opera, Brave e outros navegadores baseados em Chromium. Uma página HTML especialmente criada pode disparar um acesso fora dos limites de memória durante o processo de renderização, causando corrupção de memória e, em cenários exploráveis, execução de código arbitrário no contexto do navegador.
A NVD classifica o CVE-2025-14174 como severidade alta, com CVSS v3.1 em torno de 8,8, pois é explorável remotamente, sem autenticação, e pode ser usado em ataques drive-by, roubo de dados ou como parte de cadeias maiores (por exemplo, para entrega de ransomware). Por afetar o motor central de renderização e não depender de interação além da navegação normal, o risco é especialmente elevado em ambientes corporativos.
Versões afetadas e patches
A falha afeta as versões do Chromium anteriores a 131.0.6778.200, o que inclui builds vulneráveis do Chrome, Edge e outros navegadores derivados até receberem o patch. O Google corrigiu o problema no canal Stable em 10 de dezembro, elevando o Chrome para a versão 131.0.6778.201, enquanto a Microsoft lançou o Edge 131.0.3139.95; Outros navegadores baseados em Chromium precisam seguir os anúncios dos fornecedores parceiros.
A CISA adicionou o CVE-2025-14174 ao catálogo Known Exploited Vulnerabilities e determinou, via BOD 22-01, que as agências federais dos EUA devem aplicar mitigação até 2 de janeiro de 2026 ou descontinuar afetados que mantenham sem correção. Até o momento, não há IoCs públicos específicos associados a ransomware, mas a expectativa é de uso em conjunto com phishing e malvertising.
Recomendações para organizações
Para reduzir o risco, as equipes de segurança devem priorizar:
- Atualizar imediatamente Chrome para 131.0.6778.201+ e Edge para 131.0.3139.95+, forçando a atualização via GPO/MDM e garantindo que os navegadores sejam reiniciados para aplicar o patch.
- Fazer varreduras de inventário para identificar navegadores baseados em Chromium desatualizados e habilitar atualizações automáticas sempre que possível.
- Monitore travamentos anômalos de renderização e eventos de navegador ao acessar sites desconhecidos ou anúncios suspeitos, que podem indicar evidências de exploração.
Dado que o ecossistema Chromium responde por mais de 70% do market share em desktop, a correção rápida desse 0‑day deve ser tratada como prioridade global de remediação.
-day ANGLE permite RCE no Chrome
