Google corrige dos zero-days en Chrome explotadas en ataques

Iniciado por AXCESS, Marzo 13, 2026, 09:50:20 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Marzo 13, 2026, 09:50:20 PM


Google ha lanzado actualizaciones de seguridad de emergencia para corregir dos vulnerabilidades de alta gravedad en Chrome que están siendo explotadas en ataques de día cero (*zero-day*).

"Google tiene constancia de que existen *exploits* para las vulnerabilidades CVE-2026-3909 y CVE-2026-3910 circulando activamente", declaró Google en un aviso de seguridad publicado el jueves.

La primera vulnerabilidad de día cero ( CVE-2026-3909 ) se deriva de una debilidad de escritura fuera de límites (*out-of-bounds write*) en Skia, una biblioteca de gráficos 2D de código abierto encargada de renderizar el contenido web y los elementos de la interfaz de usuario; los atacantes pueden explotar esta vulnerabilidad para provocar el cierre inesperado del navegador web o incluso lograr la ejecución de código.

La segunda vulnerabilidad ( CVE-2026-3910 ) se describe como un fallo de implementación inadecuada en el motor V8 de JavaScript y WebAssembly.

Google descubrió ambos fallos de seguridad y los corrigió en un plazo de dos días tras su detección para los usuarios del canal "Stable Desktop" (Escritorio Estable); las nuevas versiones ya se están distribuyendo para los sistemas Windows (146.0.7680.75), macOS (146.0.7680.76) y Linux (146.0.7680.75).

Aunque Google señala que esta actualización extraordinaria podría tardar días o semanas en llegar a todos los usuarios, ya estaba disponible de inmediato cuando BleepingComputer comprobó si había actualizaciones a primera hora de hoy.

Si no desea actualizar su navegador web manualmente, también puede configurarlo para que busque actualizaciones de forma automática y las instale en el siguiente inicio.



Aunque Google encontró pruebas de que atacantes están explotando esta vulnerabilidad de día cero en la naturaleza, la compañía no compartió más detalles con respecto a estos incidentes.

«El acceso a los detalles del error y a los enlaces podría mantenerse restringido hasta que la mayoría de los usuarios hayan recibido la actualización con la corrección. También mantendremos las restricciones si el error reside en una biblioteca de terceros de la cual dependan otros proyectos de manera similar, pero que aún no hayan corregido», señaló la empresa.

Estas son la segunda y la tercera vulnerabilidad de día cero en Chrome, activamente explotadas, que han sido corregidas desde principios de 2026. La primera —identificada como CVE-2026-2441 y descrita como un error de invalidación de iteradores en CSSFontFeatureValuesMap (la implementación de Chrome para los valores de características de fuentes CSS)— fue solucionada a mediados de febrero.

El año pasado, Google corrigió un total de ocho vulnerabilidades de día cero que estaban siendo explotadas en la naturaleza; muchas de ellas fueron reportadas por el Grupo de Análisis de Amenazas (TAG) de Google, un equipo de investigadores de seguridad conocido por rastrear e identificar vulnerabilidades de día cero utilizadas en ataques con software espía.

El jueves, Google también reveló que ha pagado más de 17 millones de dólares a 747 investigadores de seguridad que reportaron fallos de seguridad a través de su Programa de Recompensas por Vulnerabilidades (VRP) durante el año 2025.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Imprimir
Ir Arriba Páginas1
Acciones del Usuario