CVE-2026-11289

CVSS 6.5 MEDIUMEPSS 0.2%CWE-1300 CWE-203

Em resumo

Uma falha no recurso de Pintura do Google Chrome permite que um atacante crie uma página web especialmente construída para vazar dados privados de outros sites que você está visitando. Isso acontece através de padrões sutis de tempo ou comportamento que não deveriam ser visíveis entre diferentes sites.

Detalhe técnico

Uma vulnerabilidade de side-channel no componente Paint do Chrome anterior à versão 149.0.7827.53 permite vazamento de dados cross-origin através de uma página HTML maliciosamente construída. O ataque explora informações observáveis através de diferenças no comportamento de timing ou renderização, permitindo que um atacante deduza dados sensíveis de outras origens sem acesso direto. A correção requer atualização para a versão corrigida.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Side-channel information leakage in Paint in Google Chrome prior to 149.0.7827.53 allowed a remote attacker to leak cross-origin data via a crafted HTML page. (Chromium security severity: Low)

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

Produtos afetados

Google · Chrome

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://chromereleases.googleblog.com/2026/06/stable-channel-update-for-desktop.html https://issues.chromium.org/issues/502239897