CVE-2025-10585: Nova vulnerabilidade Zero-Day no motor V8 de JavaScript e WebAssembly do Chrome explorada em ataques reais
Após a descoberta de CVE-2025-7775, uma vulnerabilidade crítica de execução remota de código (RCE) no Citrix NetScaler já em exploração ativa, surgiu outra falha zero-day no cenário de ameaças cibernéticas, que está sendo ativamente explorada em ataques reais. O problema, identificado como CVE-2025-10585, é uma vulnerabilidade de confusão de tipos de alta gravidade no motor V8 de JavaScript e WebAssembly do Chrome, permitindo que adversários executem código malicioso nos sistemas das vítimas ao induzi-las a acessar um site comprometido com JavaScript manipulado.
Observa-se um aumento geral na exploração de zero-days e uma janela de exploração cada vez menor, tornando atualizações oportunas fundamentais. Ao longo de 2025, já foram documentados publicamente seis incidentes em que vulnerabilidades zero-day do Google Chrome foram exploradas ativamente em ambientes reais, incluindo CVE-2025-5419 e CVE-2025-6558. O zero-day recém-descoberto no Chrome coloca milhões de organizações em risco, pois já está sendo ativamente utilizado como vetor de ataque.
Cadastre-se na SOC Prime Platform para fortalecer suas defesas em escala com a mais avançada expertise em cibersegurança e IA. A SOC Prime Platform oferece uma pilha completa de detecção para identificar e tratar de forma oportuna tentativas de exploração de vulnerabilidades, filtradas pela tag “CVE” correspondente. Clique em Explorar Detecções para obter regras Sigma relevantes que ajudam sua equipe a reduzir os riscos de exploração de CVEs quando cada segundo conta.
Todas as detecções são enriquecidas com inteligência de ameaças nativa de IA para fornecer um contexto aprofundado e são mapeadas conforme MITRE ATT&CK®. Os algoritmos de detecção também podem ser convertidos automaticamente para múltiplas tecnologias SIEM, EDR e Data Lake, otimizando tarefas de engenharia de detecção.
As equipes de segurança também podem aproveitar Uncoder AI para realizar engenharia de detecção de ponta a ponta — converter inteligência bruta de ameaças de relatórios em consultas IOC personalizadas, visualizar fluxos de ataque (Attack Flows), habilitar predição de tags ATT&CK, aplicar otimização de consultas baseada em IA e traduzir código de detecção para diferentes formatos de linguagem.
Análise do CVE-2025-10585
O Google lançou recentemente atualizações de segurança para o navegador Chrome, corrigindo quatro vulnerabilidades, incluindo um zero-day ativamente explorado identificado como CVE-2025-10585, uma falha de confusão de tipos no motor V8 de JavaScript e WebAssembly do Chrome. Vulnerabilidades desse tipo podem ser utilizadas para causar comportamentos inesperados, incluindo execução arbitrária de código e crashes, simplesmente fazendo com que os usuários carreguem uma página maliciosa, tornando-as altamente perigosas para campanhas de exploração em larga escala.
Pesquisadores do Google descobriram e reportaram o CVE-2025-10585 em 16 de setembro de 2025. O fornecedor reteve detalhes técnicos e de exploração para evitar que agentes maliciosos abusem da falha antes que os usuários apliquem o patch.
Além deste bug explorado ativamente, a atualização corrige outras três vulnerabilidades de alta gravidade que poderiam comprometer sistemas. Uma delas, CVE-2025-10500, é um bug de uso-after-free na implementação Dawn do WebGPU.
O fornecedor confirmou que um exploit para CVE-2025-10585 está sendo utilizado em ataques reais. O surgimento desta ameaça marca o sexto zero-day no Chrome este ano que está sendo explorado ativamente ou demonstrado em um ataque PoC.
Como medidas potenciais de mitigação para CVE-2025-10585 e para reduzir os riscos de exploração, recomenda-se que usuários do Chrome atualizem para a versão 140.0.7339.185/.186 no Windows e macOS, ou 140.0.7339.185 no Linux. Usuários de outros navegadores baseados em Chromium, incluindo Microsoft Edge, Brave, Opera e Vivaldi, também são incentivados a instalar as atualizações de segurança correspondentes assim que forem lançadas. Para se manter protegido, os usuários podem verificar atualizações manualmente e as organizações devem priorizar a aplicação de patches e medidas adicionais até que todos os sistemas estejam atualizados.
À medida que falhas zero-day no Google Chrome e em outros softwares populares aumentam e tentativas de exploração se multiplicam, as organizações devem permanecer vigilantes quanto à sua postura de segurança. A SOC Prime fornece às equipes de segurança um conjunto completo de produtos para defesa corporativa apoiada por IA, automação, CTI acionável e princípios de zero-trust, ajudando organizações a superar ameaças cibernéticas em larga escala.
