A nova rodada de atualizações disponibilizada por Mozilla, Google, Adobe e Broadcom reforça um alerta importante para empresas e usuários domésticos: manter softwares atualizados continua sendo uma das principais medidas de proteção contra ataques cibernéticos. As recentes falhas críticas de segurança afetam navegadores, plataformas corporativas e soluções amplamente utilizadas em ambientes empresariais.
Embora, até o momento, nenhuma dessas vulnerabilidades esteja sendo explorada em larga escala, algumas delas já possuem código de exploração público, aumentando significativamente o risco de ataques futuros. Para especialistas em segurança da informação, esse cenário exige ação rápida por parte das equipes de TI.
Neste artigo você entenderá quais produtos foram afetados, quais vulnerabilidades receberam correções, os riscos envolvidos e por que aplicar essas atualizações deve ser uma prioridade.
Firefox corrige duas falhas críticas com código de exploração disponível
A Mozilla publicou a versão Firefox 152.0.6, corrigindo duas falhas críticas de segurança que afetam componentes importantes do navegador.
As vulnerabilidades corrigidas são:
| CVE | Componente | Risco |
|---|---|---|
| CVE-2026-15718 | JavaScript WebAssembly | Ponteiro inválido que pode comprometer a execução do navegador |
| CVE-2026-15719 | Isolamento de Sites (DOM Navigation) | Possível quebra do isolamento entre sites |
O ponto que mais preocupa é que a própria Mozilla confirmou que o código de exploração dessas vulnerabilidades já está disponível publicamente.
Apesar de não existirem registros de exploração ativa, criminosos costumam utilizar rapidamente códigos divulgados para desenvolver ataques automatizados.
Por que isso é preocupante?
Quando uma vulnerabilidade possui exploit público, o tempo entre sua divulgação e o início dos ataques costuma diminuir significativamente. Esse período é conhecido como “janela de exposição”, momento em que sistemas desatualizados ficam vulneráveis.
Google Chrome recebe correção para 15 vulnerabilidades
O Google também liberou uma importante atualização para o Chrome, corrigindo 15 vulnerabilidades, incluindo duas consideradas críticas.
As principais são:
| CVE | Tipo | Gravidade |
|---|---|---|
| CVE-2026-15764 | Use After Free (Ozone) | Crítica |
| CVE-2026-15765 | Use After Free (Ozone) | Crítica |
Essas vulnerabilidades afetam principalmente o componente Ozone, responsável pela integração do Chrome com sistemas gráficos no Linux, ChromeOS e Fuchsia.
Segundo a documentação técnica, um invasor pode induzir a vítima a executar determinadas ações dentro do navegador por meio de uma página HTML maliciosa, ocasionando corrupção de memória (Heap Corruption).
As correções foram disponibilizadas para:
- Windows
- Linux
- macOS
O que é uma vulnerabilidade “Use After Free”?
Esse tipo de falha acontece quando um programa continua utilizando uma região de memória que já foi liberada pelo sistema.
Na prática, isso pode permitir:
- Execução remota de código;
- Travamentos do navegador;
- Corrupção de memória;
- Escalada de privilégios.
Esse é um dos tipos de vulnerabilidade mais explorados por grupos especializados em ataques sofisticados.
Adobe corrige impressionantes 88 vulnerabilidades
A Adobe divulgou uma das maiores atualizações de segurança do ano.
Ao todo foram corrigidas 88 vulnerabilidades, distribuídas entre diversos produtos.
Os mais afetados incluem:
- Adobe ColdFusion
- Adobe Commerce
- Magento Open Source
- Adobe Experience Manager
- Adobe Illustrator
Grande parte das correções possui pontuação CVSS acima de 9.0, considerada crítica.
As principais falhas no Adobe ColdFusion
O ColdFusion recebeu oito correções críticas.
| CVE | CVSS | Tipo de vulnerabilidade |
|---|---|---|
| CVE-2026-48318 | 9.9 | Travessia de diretório |
| CVE-2026-48322 | 9.6 | Injeção de código |
| CVE-2026-48284 | 9.6 | Validação inadequada |
| CVE-2026-48321 | 9.3 | Autorização incorreta |
| CVE-2026-48325 | 9.3 | Autenticação ausente |
| CVE-2026-48319 | 9.1 | Travessia de diretório |
| CVE-2026-48324 | 9.1 | SQL Injection |
| CVE-2026-48327 | 9.0 | Escalada de privilégios |
As atualizações estão disponíveis para:
- ColdFusion 2025 Update 11
- ColdFusion 2023 Update 22
Adobe Commerce e Magento também receberam correções críticas
As plataformas de comércio eletrônico também foram contempladas com importantes atualizações.
Entre as vulnerabilidades mais relevantes estão:
| CVE | Produto | Risco |
|---|---|---|
| CVE-2026-48356 | Commerce / Magento | Upload arbitrário de arquivos |
| CVE-2026-48358 | Commerce / Magento | Execução remota de código |
Essas vulnerabilidades representam um risco elevado para lojas virtuais, especialmente aquelas expostas diretamente à internet.
Experience Manager também apresenta riscos elevados
O Adobe Experience Manager recebeu duas correções importantes.
| CVE | Tipo |
|---|---|
| CVE-2026-48259 | SSRF (Server Side Request Forgery) |
| CVE-2026-48359 | XML External Entity (XXE) |
Ambas podem permitir execução remota de código caso exploradas com sucesso.
VMware Avi Load Balancer também recebe atualização crítica
Outra atualização importante foi disponibilizada pela Broadcom para o VMware Avi Load Balancer.
A vulnerabilidade identificada como CVE-2026-47865 possui pontuação CVSS 9.8, uma das maiores classificações possíveis.
| Produto | CVE | CVSS | Impacto |
|---|---|---|---|
| VMware Avi Load Balancer | CVE-2026-47865 | 9.8 | Bypass de autenticação |
A falha permite que um usuário malicioso com acesso à rede consiga contornar mecanismos de autenticação e acessar o plano de controle da solução.
Embora ainda não existam registros públicos de exploração ativa, especialistas alertam que vulnerabilidades com esse nível de criticidade costumam ser rapidamente incorporadas em campanhas de ataque.
Comparativo das principais atualizações
| Fabricante | Produto | Vulnerabilidades corrigidas | Maior CVSS |
|---|---|---|---|
| Mozilla | Firefox | 2 | Crítica |
| Chrome | 15 | Crítica | |
| Adobe | ColdFusion, Commerce, Magento, AEM e Illustrator | 88 | 9.9 |
| Broadcom | VMware Avi Load Balancer | 1 | 9.8 |
Como essas vulnerabilidades impactam a segurança das empresas?
Mesmo quando não existem ataques ativos, criminosos acompanham atentamente boletins de segurança publicados pelos fabricantes.
Após a divulgação técnica das vulnerabilidades, grupos especializados costumam desenvolver exploits automatizados para identificar servidores desatualizados na internet.
Por isso, equipes de segurança da informação recomendam que atualizações críticas sejam aplicadas em um curto espaço de tempo, reduzindo a superfície de ataque e evitando comprometimentos.
Empresas que utilizam ColdFusion, VMware, Adobe Commerce ou navegadores em ambientes corporativos devem revisar imediatamente seus processos de gerenciamento de patches.
Boas práticas para reduzir riscos
Além da instalação das atualizações, algumas medidas fortalecem significativamente a proteção dos ambientes:
Mantenha um programa de gerenciamento de patches
Atualize sistemas operacionais, navegadores e aplicações regularmente.
Utilize autenticação multifator
Mesmo em caso de exploração de vulnerabilidades, a autenticação adicional dificulta invasões.
Monitore logs constantemente
Ferramentas de monitoramento permitem identificar atividades suspeitas rapidamente.
Faça varreduras periódicas
Scanners de vulnerabilidade ajudam a localizar sistemas desatualizados.
Capacite os usuários
Treinamentos reduzem o risco de ataques de engenharia social que exploram vulnerabilidades conhecidas.
Conclusão
A nova rodada de atualizações demonstra que as falhas críticas de segurança continuam surgindo em softwares amplamente utilizados por empresas e usuários domésticos. Firefox, Chrome, Adobe e VMware corrigiram vulnerabilidades capazes de permitir execução remota de código, escalada de privilégios, corrupção de memória e bypass de autenticação.
Embora não haja confirmação de exploração ativa em larga escala, a existência de exploits públicos aumenta a urgência da aplicação dos patches. Investir em um processo eficiente de atualização e fortalecer a segurança da informação são medidas fundamentais para reduzir riscos, proteger dados e garantir a continuidade das operações. Ignorar essas correções pode deixar sistemas expostos a ataques que exploram vulnerabilidades já conhecidas e documentadas.






