Google ha lanzado una actualización urgente para su navegador Chrome tras confirmar la explotación activa de dos vulnerabilidades zero-day de alta severidad en componentes clave del motor de renderizado y motor JavaScript. Estas fallas permiten la ejecución arbitraria de código al escapar las protecciones del sandbox, representando un riesgo grave para los usuarios. Se recomienda actualizar inmediatamente para mitigar posibles ataques dirigidos que aprovechan estas vulnerabilidades.
CVE y severidad
- CVE-2026-3909: vulnerabilidad de escritura fuera de límites en Skia, el motor gráfico 2D open source que utiliza Chrome. Permite sobrescribir memorias adyacentes y potencialmente ejecutar código arbitrario o causar fallos críticos.
- CVE-2026-3910: implementación inapropiada en V8, el motor de JavaScript y WebAssembly de alto rendimiento de Chrome. Puede ser explotada mediante contenido web malicioso para ejecutar código malintencionado en el contexto del proceso del navegador.
Google ha confirmado que existen exploits activos para ambas vulnerabilidades, con una calificación de severidad Alta.
Productos afectados
| Fabricante | Producto | Componente | Versiones afectadas | Plataformas/SO |
|---|---|---|---|---|
| Chrome | Skia (motor gráfico 2D) | Versiones anteriores a 146.0.7680.75 (Linux) 146.0.7680.75/76 (Windows, Mac) | Windows, macOS, Linux | |
| Chrome | V8 (motor JavaScript/WebAssembly) | Versiones anteriores a 146.0.7680.75 (Linux) 146.0.7680.75/76 (Windows, Mac) | Windows, macOS, Linux |
Solución
Actualizar Google Chrome a la versión 146.0.7680.75 (Linux) o 146.0.7680.75/76 (Windows, Mac) inmediatamente.
Recomendaciones
Priorizar la aplicación inmediata del parche mediante el menú Ayuda → Acerca de Google Chrome y reiniciar el navegador para completar la instalación. Para entornos empresariales, desplegar la actualización a través de políticas corporativas sin demora, evitando esperar el despliegue automático dada la explotación activa de las fallas.