Google ha emitido una actualización de seguridad urgente para su navegador Chrome, corrigiendo una vulnerabilidad zero-day (CVE-2026-5281) que está siendo explotada activamente. Esta vulnerabilidad de tipo use-after-free afecta al componente Dawn, encargado de la implementación de WebGPU, una tecnología moderna orientada al procesamiento gráfico avanzado en aplicaciones web, permitiendo potencialmente ejecución remota de código o escape del sandbox del navegador.
CVE y severidad
| CVE | Tipo de vulnerabilidad | Severidad | Componente afectado | Explotación activa |
|---|---|---|---|---|
| CVE-2026-5281 | Use-after-free | Crítica | Dawn GPU abstraction (WebGPU) | Sí |
| CVE-2026-5273 | Use-after-free | Alta | CSS | No especificado |
| CVE-2026-5272 | Heap buffer overflow | Alta | GPU | No especificado |
| CVE-2026-5274 | Integer overflow | Alta | Codecs | No especificado |
| CVE-2026-5275 | Heap buffer overflow | Alta | ANGLE | No especificado |
| CVE-2026-5276 | Política insuficiente de enforcement | Alta | WebUSB | No especificado |
| CVE-2026-5278 | Use-after-free | Alta | Web MIDI | No especificado |
| CVE-2026-5279 | Corrupción de objetos | Alta | V8 JavaScript engine | No especificado |
| CVE-2026-5280 | Use-after-free | Alta | WebCodecs | No especificado |
| CVE-2026-5284 | Use-after-free | Alta | Dawn (GPU abstraction) | No especificado |
| CVE-2026-5285 | Use-after-free | Alta | WebGL | No especificado |
| CVE-2026-5287 | Use-after-free | Alta | PDF renderer | No especificado |
| CVE-2026-5288 | Use-after-free | Alta | WebView | No especificado |
| CVE-2026-5289 | Use-after-free | Alta | Navegación (Navigation) | No especificado |
| CVE-2026-5290 | Use-after-free | Alta | Compositing pipeline | No especificado |
Productos afectados
| Fabricante | Producto | Versiones afectadas | Plataformas/SO |
|---|---|---|---|
| Chrome Stable Channel | <146.0.7680.177/178 | Windows, Mac, Linux | |
| Chrome Stable Channel Linux version line | <146.0.7680.177 | Linux | |
| Chrome Stable Channel Windows y Mac version line | <146.0.7680.178 | Windows, Mac |
Solución
Actualizar Google Chrome a la versión 146.0.7680.177/178 o superior para Windows y Mac.
Actualizar Google Chrome a la versión 146.0.7680.177 para Linux.
Recomendaciones
Se recomienda priorizar la instalación inmediata del parche de seguridad para mitigar la explotación activa de CVE-2026-5281; asegurar reinicio del navegador tras la actualización y distribuir el parche a través de políticas centralizadas en entornos corporativos.
Referencias
- Noticia original en Cyber Security News sobre la vulnerabilidad zero-day en Chrome (inglés)
- NVD – CVE-2026-5281 Vulnerabilidad y métricas CVSS (National Vulnerability Database)
- MITRE – Detalles técnicos CVE-2026-5281
- NVD – CVE-2026-5273 (Use after free en CSS)
- NVD – CVE-2026-5272 (Heap buffer overflow en GPU)
- NVD – CVE-2026-5274 (Integer overflow en Codecs)
- NVD – CVE-2026-5275 (Heap buffer overflow en ANGLE)
- NVD – CVE-2026-5276 (Política insuficiente en WebUSB)
- NVD – CVE-2026-5278 (Use after free en Web MIDI)
- NVD – CVE-2026-5279 (Corrupción de objetos en V8)
- NVD – CVE-2026-5280 (Use after free en WebCodecs)
- NVD – CVE-2026-5284 (Use after free en Dawn)
- NVD – CVE-2026-5285 (Use after free en WebGL)
- NVD – CVE-2026-5287 (Use after free en PDF)
- NVD – CVE-2026-5288 (Use after free en WebView)
- NVD – CVE-2026-5289 (Use after free en Navigation)
- NVD – CVE-2026-5290 (Use after free en Compositing)
- BleepingComputer: Google parchea vulnerabilidad zero-day activamente explotada en Chrome (en inglés)
- Dark Reading: Google soluciona zero-day en Chrome explotado activamente (en inglés)
- Hacker News discusiones sobre esta vulnerabilidad (en inglés)