Google ha publicado una actualización crítica para Chrome que aborda 18 vulnerabilidades, incluyendo cuatro clasificadas como Críticas y catorce como Altas, capaces de permitir la ejecución de código arbitrario en sistemas afectados. Las fallas más graves corresponden a Use-after-Free (UAF) en componentes como WebGL, Autofill y Bluetooth, con potencial para escalar privilegios o ejecutar código remoto. La actualización afecta a versiones previas de Chrome en Windows, macOS y Linux.
CVE y severidad
| CVE | Severidad | Tipo | Componente afectado |
|---|---|---|---|
| CVE-2026-13028 | Crítica | Use-after-Free | WebGL |
| CVE-2026-13032 | Crítica | Use-after-Free | WebGL |
| CVE-2026-13033 | Crítica | Out-of-Bounds Read | Blink (InterestGroups) |
| CVE-2026-13038 | Crítica | Use-after-Free | Autofill |
| CVE-2026-13021 | Alta | Implementación inadecuada | DeviceBoundSessionCredentials |
| CVE-2026-13022 | Alta | Implementación inadecuada | Autofill |
| CVE-2026-13023 | Alta | Uso no inicializado | GPU |
| CVE-2026-13024 | Alta | Validación de entrada insuficiente | Navegación |
| CVE-2026-13025 | Alta | Validación de entrada insuficiente | DevTools |
| CVE-2026-13026 | Alta | Use-after-Free | Digital Credentials |
| CVE-2026-13027 | Alta | Use-after-Free | FileSystem |
| CVE-2026-13029 | Alta | Use-after-Free | Web Authentication |
| CVE-2026-13030 | Alta | Uso no inicializado | GPU |
| CVE-2026-13031 | Alta | Use-after-Free | Blink |
| CVE-2026-13034 | Alta | Implementación inadecuada | Contraseñas |
| CVE-2026-13035 | Alta | Use-after-Free | Bluetooth |
| CVE-2026-13036 | Alta | Use-after-Free | Blink |
| CVE-2026-13037 | Alta | Use-after-Free | WebView |
Productos afectados
Google Chrome versiones previas a 149.0.7827.196/197 para Windows y macOS, y 149.0.7827.196 para Linux.
Solución
Actualizar Google Chrome a la versión 149.0.7827.196/197 (Windows/macOS) o 149.0.7827.196 (Linux).
Recomendaciones
Los administradores y usuarios deben aplicar la actualización de inmediato, especialmente en entornos críticos. Verificar la integridad del navegador tras la instalación y, en entornos empresariales, coordinar el despliegue durante un maintenance window para validar el comportamiento post-patch. Windows/Linux/macOS: priorizar sistemas expuestos a contenido web no confiable o con acceso a redes corporativas.