(https://www.bleepstatic.com/content/hl-images/2024/04/02/Google-Chrome.jpg)
Google lanzó actualizaciones de emergencia para corregir otra vulnerabilidad de día cero en Chrome, explotada en ataques. Esta es la cuarta falla de seguridad de este tipo que se corrige desde principios de año.
"Google tiene conocimiento de la existencia de una vulnerabilidad explotable para CVE-2026-5281", indicó Google en un aviso de seguridad emitido el martes.
Como se detalla en el historial de commits de Chromium, esta vulnerabilidad se origina en una debilidad de uso de memoria liberada (use-after-free) en Dawn, la implementación multiplataforma subyacente del estándar WebGPU utilizado por el proyecto Chromium.
Los atacantes pueden explotar esta falla de seguridad de Dawn para provocar fallos en el navegador, corrupción de datos, problemas de renderizado u otros comportamientos anómalos.
Si bien Google ha encontrado evidencia de que actores maliciosos estaban explotando esta vulnerabilidad de día cero, no compartió detalles sobre estos incidentes.
"El acceso a los detalles y enlaces del error podría permanecer restringido hasta que la mayoría de los usuarios hayan actualizado con la corrección. También mantendremos las restricciones si el error existe en una biblioteca de terceros de la que dependen otros proyectos, pero que aún no se ha corregido", señaló la compañía.
Google ha corregido la vulnerabilidad de día cero para los usuarios del canal de escritorio estable, y las nuevas versiones ya están disponibles para Windows, macOS (146.0.7680.177/178) y Linux (146.0.7680.177).
Esta es la cuarta vulnerabilidad de día cero de Chrome que se ha corregido desde principios de año. La primera ( CVE-2026-2441 ) era un error de invalidación de iteradores en CSSFontFeatureValuesMap (la implementación de Chrome de los valores de las características de fuente CSS), que Google solucionó a mediados de febrero.
Google corrigió otras dos vulnerabilidades de día cero en Chrome que fueron explotadas en ataques a principios de este mes: la primera es una debilidad de escritura fuera de límites en la biblioteca de gráficos 2D Skia ( CVE-2026-3909 ), y la segunda es una vulnerabilidad de implementación inadecuada en el motor V8 de JavaScript y WebAssembly ( CVE-2026-3910 ).
En 2025, Google corrigió un total de ocho vulnerabilidades de día cero explotadas, muchas de las cuales fueron descubiertas y reportadas por el Grupo de Análisis de Amenazas (TAG) de Google, conocido por rastrear e identificar exploits de día cero utilizados en ataques de spyware.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/google-fixes-fourth-chrome-zero-day-exploited-in-attacks-in-2026/