Vulnerabilidades críticas en Google Chrome 2026
Vulnerabilidad crítica - 06/03
Introducción
CVE-2026-3545 se origina por una validación insuficiente de datos en el subsistema de navegación de Chrome, lo que permite que datos manipulados en una página HTML maliciosa no sean correctamente verificados por el navegador. Si un usuario visita dicha página, un atacante puede aprovechar el fallo para escapar del sandbox del navegador, uno de los principales mecanismos de aislamiento de seguridad de Chrome. El sandbox está diseñado para impedir que el contenido web acceda directamente al sistema operativo o a otros procesos del navegador. Romper esta barrera puede permitir a un atacante realizar acciones más avanzadas en el sistema de la víctima.
Análisis
CVE-2026-3545 - CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H - 9,6
El fallo explotado por CVE-2026-3545 aparece cuando el navegador procesa ciertos datos generados durante la navegación web. Un atacante puede crear una página especialmente diseñada con contenido HTML o JavaScript manipulado que provoque que el motor de navegación de Chrome procese información que no ha sido validada correctamente. Debido a esta validación incompleta, el navegador puede entrar en un estado interno inconsistente al manejar dichos datos. En determinadas circunstancias, este estado permite que el código ejecutado dentro del proceso renderer interactúe con componentes del navegador que deberían estar fuera de su alcance.
Como resultado, el atacante puede lograr un escape del sandbox y superar la barrera de aislamiento que normalmente protege al sistema frente al contenido web no confiable. Una vez que el código malicioso sale del entorno restringido del renderer, puede comunicarse con procesos del navegador con mayores privilegios, como el proceso principal encargado de la interfaz y de la gestión de recursos. Este paso es especialmente crítico, ya que rompe uno de los mecanismos fundamentales de seguridad del navegador.
En un escenario de ataque real, la explotación podría darse si la víctima visita una página web maliciosa, ya sea mediante un enlace de phishing, publicidad maliciosa o redirecciones comprometidas. Al cargarse la página, el contenido manipulado activaría el fallo en la validación de datos y desencadenaría el comportamiento que permite el escape del sandbox. Aunque este tipo de vulnerabilidad por sí sola no siempre garantiza el control completo del sistema, es valiosa para los atacantes porque puede combinarse con otras vulnerabilidades en lo que se conoce como una cadena de explotación. En estas cadenas, una primera vulnerabilidad permite ejecutar código dentro del proceso del navegador, mientras que el fallo de escape del sandbox facilita avanzar hacia un compromiso más amplio del sistema.
Versiones afectadas
Versiones anteriores a 145.0.7632.159.
Recomendaciones
- Actualizar Google Chrome a la versión 145.0.7632.159 o posterior.
- Aplicar actualizaciones automáticas del navegador.
Workarounds
No hay workarounds para esta vulnerabilidad.
Referencias
- https://chromereleases.googleblog.com/2026/03/stable-channel-update-for-desktop.html
- https://app.opencve.io/cve/CVE-2026-3545
- https://radar.offseq.com/threat/cve-2026-3545-insufficient-data-validation-in-goog-72f3544b
Vulnerabilidad crítica - 16/03
Introducción
CVE-2026-3909 y CVE-2026-3910 son fallos críticos en Google Chrome que permiten la ejecución remota de código a través de la corrupción de memoria en componentes esenciales del navegador. La primera afecta al motor gráfico Skia, provocando escrituras fuera de límites al procesar contenido visual malicioso, mientras que la segunda compromete el motor V8 JavaScript Engine, explotando defectos en la interpretación de código JavaScript y WebAssembly.
Ambas vulnerabilidades fueron reportadas como explotadas activamente en entornos reales, lo que permite a un atacante ejecutar código arbitrario en el navegador, comprometiendo potencialmente el sistema del usuario y poniendo en riesgo datos sensibles.
Análisis
CVE-2026-3909 - CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H - 8,8
CVE-2026-3909 es una vulnerabilidad de seguridad detectada en el navegador Google Chrome que permite a un atacante explotar un error de escritura fuera de límites (out-of-bounds write) en el motor gráfico Skia. El fallo se produce cuando el navegador procesa ciertos datos gráficos especialmente manipulados y termina escribiendo información fuera del área de memoria asignada. Un atacante puede aprovechar este comportamiento mediante una página web maliciosa que contenga contenido gráfico diseñado para activar el error; cuando la víctima la visita con una versión vulnerable del navegador, la corrupción de memoria puede permitir alterar estructuras internas del proceso del navegador y potencialmente ejecutar código arbitrario en el sistema de la víctima.
CVE-2026-3910 - Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H - 8,8
CVE-2026-3910 es una vulnerabilidad crítica detectada en el motor V8 JavaScript y WebAssembly del navegador Google Chrome. Cuando el navegador interpreta código especialmente manipulado, puede producirse una corrupción de memoria dentro del motor V8. Un atacante puede explotar este fallo a través de una página web maliciosa que ejecute código diseñado para activar la vulnerabilidad. Si un usuario visita dicha página con una versión vulnerable del navegador, el atacante podría obtener ejecución de código dentro del proceso del navegador y, en combinación con otras técnicas, comprometer el sistema de la víctima.
Versiones afectadas
Versiones de Google Chrome anteriores a 146.0.7680.75 en Windows, macOS y Linux.
Recomendaciones
Actualizar Google Chrome a 146.0.7680.75 o posterior.
Workarounds
No hay workarounds para estas vulnerabilidades.
Referencias
- https://chromereleases.googleblog.com/2026/03/stable-channel-update-for-desktop_12.html
- https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-chrome-de-google
- https://thehackernews.com/2026/03/google-fixes-two-chrome-zero-days.html
Vulnerabilidad crítica - 16/03
Introducción
CVE‑2026‑3916 se clasifica como una lectura fuera de los límites de memoria (out‑of‑bounds read) que afecta al componente Web Speech del navegador Google Chrome. Este componente es responsable de proporcionar funcionalidades de reconocimiento y síntesis de voz, lo que permite a los sitios web interactuar con el usuario mediante comandos de voz o generar respuestas habladas.
Análisis
CVE-2026-3916 - CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H - 9,6
CVE‑2026‑3916 se origina en el componente Web Speech de Google Chrome, encargado de procesar funciones de reconocimiento y síntesis de voz. Este componente utiliza buffers de memoria para almacenar temporalmente los datos de audio y sus procesos asociados. El fallo ocurre porque al manejar ciertos datos de entrada, Web Speech intenta acceder a áreas de memoria fuera de los límites asignados, es decir, lee información que no debería estar disponible para la página web o el proceso que lo ejecuta.
El ataque se puede realizar de manera remota y no requiere permisos especiales: basta con que un usuario visite una página web maliciosa o reproduzca un audio manipulado que contenga datos diseñados para provocar esta lectura fuera de límites. Cuando el navegador procesa estos datos, el código de Web Speech confía en que la información recibida está dentro de los límites esperados, y al no ser así, se produce una exposición de memoria sensible. Esto podría permitir al atacante acceder a información privada que normalmente está aislada dentro del proceso del navegador.
Aunque por sí sola esta vulnerabilidad no permite ejecutar código arbitrario, su importancia radica en que puede ser utilizada como primer paso en un ataque más complejo, combinándola con otras fallas de seguridad como errores de corrupción de memoria o vulnerabilidades tipo use-after-free. En estos escenarios, un atacante podría incluso llegar a comprometer la seguridad del sandbox de Chrome, que normalmente aísla los procesos del navegador para proteger el sistema y los datos del usuario.
Versiones afectadas
Versiones anteriores a la 146.0.7680.71.
Recomendaciones
Actualizar Chrome a la versión 146.0.7680.71 o posterior.
Workarounds
No hay workarounds para esta vulnerabilidad.