CVE-2026-34764

Name of the Vulnerable Software and Affected Versions Electron versões 33.0.0-alpha.1 até 39.8.5, 40.8.5, 41.1.0 e 42.0.0-alpha.5

Description Aplicações Electron que utilizam renderização offscreen com texturas compartilhadas de GPU podem apresentar uma condição de use-after-free. Especificamente, a função de retorno de chamada release() associada a uma textura de evento paint pode sobreviver ao seu estado nativo, levando potencialmente à corrupção de memória ou a uma falha quando invocada. As aplicações são afetadas apenas se utilizarem renderização offscreen com webPreferences.offscreen: { useSharedTexture: true }. A função texture.release() é central para esta questão.

Recommendations Versões anteriores a 39.8.5: Garanta que texture.release() seja chamado imediatamente após o consumo da textura, antes que o objeto de textura se torne inacessível. Versões anteriores a 40.8.5: Garanta que texture.release() seja chamado imediatamente após o consumo da textura, antes que o objeto de textura se torne inacessível. Versões anteriores a 41.1.0: Garanta que texture.release() seja chamado imediatamente após o consumo da textura, antes que o objeto de textura se torne inacessível. Versões anteriores a 42.0.0-alpha.5: Garanta que texture.release() seja chamado imediatamente após o consumo da textura, antes que o objeto de textura se torne inacessível.