Google ha publicado una actualización de seguridad para Chrome que corrige 33 vulnerabilidades, varias de ellas clasificadas como críticas por su potencial de ejecución remota de código (RCE). Entre ellas destacan siete vulnerabilidades críticas, en su mayoría fallos de corrupción de memoria de tipo use-after-free, en componentes como WebShare, WebView, Digital Credentials, File Input, Passwords y Web Authentication.
La explotación exitosa de estas vulnerabilidades podría permitir la ejecución de código arbitrario mediante contenido web especialmente diseñado. En un escenario real, basta con que la víctima visite una página web maliciosa para desencadenar la explotación, sin interacción adicional.
CVE y severidad
| CVE | Severidad | Componente | Tipo |
|---|---|---|---|
| CVE-2026-12437 | Crítica | WebShare | Use-after-free |
| CVE-2026-12438 | Crítica | WebView | Implementación inadecuada |
| CVE-2026-12439 | Crítica | Digital Credentials | Use-after-free |
| CVE-2026-12440 | Crítica | Digital Credentials | Use-after-free |
| CVE-2026-12441 | Crítica | File Input | Use-after-free |
| CVE-2026-12442 | Crítica | Passwords | Use-after-free |
| CVE-2026-12443 | Crítica | Web Authentication | Use-after-free |
| CVE-2026-12447 | Alta | WebRTC | Desbordamiento de búfer en heap |
| CVE-2026-12461 | Alta | WebRTC | Lectura fuera de límites |
Nota: La tabla muestra las vulnerabilidades de mayor relevancia. El boletín completo de Google abarca 33 CVE (CVE-2026-12437 a CVE-2026-12469), con fallos adicionales en componentes como Extensions, Media, Downloads, Browser, Input, Tab Strip, Serial, Views, Metrics, Updater y Chromoting.
Productos afectados
Google Chrome versiones anteriores a la 149.0.7827.155/.156 para Windows y macOS, y 149.0.7827.155 para Linux.
Solución
Actualizar Google Chrome a:
- 149.0.7827.155 o 149.0.7827.156 para Windows y macOS.
- 149.0.7827.155 para Linux.
Recomendaciones
Priorizar la actualización inmediata de Chrome en estaciones de trabajo y equipos con acceso a Internet, dada la cantidad de fallos críticos de corrupción de memoria. Verificar que las actualizaciones automáticas del navegador se encuentren habilitadas. En entornos gestionados, forzar la actualización por políticas y no depender únicamente del despliegue gradual de Google. Mantener actualizado el sistema operativo y las soluciones de protección de endpoints. Aplicar estrategias de defensa en profundidad, como aislamiento de navegador (browser isolation) para actividades de alto riesgo. Monitorear el parque de equipos e identificar los que continúen ejecutando versiones anteriores a las corregidas.