Vulnerabilidades críticas en Google Chrome 2026

Vulnerabilidad crítica - 06/03

Introducción

CVE-2026-3545 se origina por una validación insuficiente de datos en el subsistema de navegación de Chrome, lo que permite que datos manipulados en una página HTML maliciosa no sean correctamente verificados por el navegador. Si un usuario visita dicha página, un atacante puede aprovechar el fallo para escapar del sandbox del navegador, uno de los principales mecanismos de aislamiento de seguridad de Chrome. El sandbox está diseñado para impedir que el contenido web acceda directamente al sistema operativo o a otros procesos del navegador. Romper esta barrera puede permitir a un atacante realizar acciones más avanzadas en el sistema de la víctima.

Análisis

CVE-2026-3545 - CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H - 9,6

El fallo explotado por CVE-2026-3545 aparece cuando el navegador procesa ciertos datos generados durante la navegación web. Un atacante puede crear una página especialmente diseñada con contenido HTML o JavaScript manipulado que provoque que el motor de navegación de Chrome procese información que no ha sido validada correctamente. Debido a esta validación incompleta, el navegador puede entrar en un estado interno inconsistente al manejar dichos datos. En determinadas circunstancias, este estado permite que el código ejecutado dentro del proceso renderer interactúe con componentes del navegador que deberían estar fuera de su alcance.

Como resultado, el atacante puede lograr un escape del sandbox y superar la barrera de aislamiento que normalmente protege al sistema frente al contenido web no confiable. Una vez que el código malicioso sale del entorno restringido del renderer, puede comunicarse con procesos del navegador con mayores privilegios, como el proceso principal encargado de la interfaz y de la gestión de recursos. Este paso es especialmente crítico, ya que rompe uno de los mecanismos fundamentales de seguridad del navegador.

En un escenario de ataque real, la explotación podría darse si la víctima visita una página web maliciosa, ya sea mediante un enlace de phishing, publicidad maliciosa o redirecciones comprometidas. Al cargarse la página, el contenido manipulado activaría el fallo en la validación de datos y desencadenaría el comportamiento que permite el escape del sandbox. Aunque este tipo de vulnerabilidad por sí sola no siempre garantiza el control completo del sistema, es valiosa para los atacantes porque puede combinarse con otras vulnerabilidades en lo que se conoce como una cadena de explotación. En estas cadenas, una primera vulnerabilidad permite ejecutar código dentro del proceso del navegador, mientras que el fallo de escape del sandbox facilita avanzar hacia un compromiso más amplio del sistema.

Versiones afectadas

Versiones anteriores a 145.0.7632.159.

Recomendaciones

• Actualizar Google Chrome a la versión 145.0.7632.159 o posterior.
• Aplicar actualizaciones automáticas del navegador.

Workarounds

No hay workarounds para esta vulnerabilidad.

Referencias

• https://chromereleases.googleblog.com/2026/03/stable-channel-update-for-desktop.html
• https://app.opencve.io/cve/CVE-2026-3545
• https://radar.offseq.com/threat/cve-2026-3545-insufficient-data-validation-in-goog-72f3544b

Vulnerabilidad crítica - 16/03

Introducción

CVE-2026-3909 y CVE-2026-3910 son fallos críticos en Google Chrome que permiten la ejecución remota de código a través de la corrupción de memoria en componentes esenciales del navegador. La primera afecta al motor gráfico Skia, provocando escrituras fuera de límites al procesar contenido visual malicioso, mientras que la segunda compromete el motor V8 JavaScript Engine, explotando defectos en la interpretación de código JavaScript y WebAssembly.

Ambas vulnerabilidades fueron reportadas como explotadas activamente en entornos reales, lo que permite a un atacante ejecutar código arbitrario en el navegador, comprometiendo potencialmente el sistema del usuario y poniendo en riesgo datos sensibles.

Análisis

CVE-2026-3909 - CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H - 8,8

CVE-2026-3909 es una vulnerabilidad de seguridad detectada en el navegador Google Chrome que permite a un atacante explotar un error de escritura fuera de límites (out-of-bounds write) en el motor gráfico Skia. El fallo se produce cuando el navegador procesa ciertos datos gráficos especialmente manipulados y termina escribiendo información fuera del área de memoria asignada. Un atacante puede aprovechar este comportamiento mediante una página web maliciosa que contenga contenido gráfico diseñado para activar el error; cuando la víctima la visita con una versión vulnerable del navegador, la corrupción de memoria puede permitir alterar estructuras internas del proceso del navegador y potencialmente ejecutar código arbitrario en el sistema de la víctima. 

CVE-2026-3910 - Vector:  CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H - 8,8

CVE-2026-3910 es una vulnerabilidad crítica detectada en el motor V8 JavaScript y WebAssembly del navegador Google Chrome. Cuando el navegador interpreta código especialmente manipulado, puede producirse una corrupción de memoria dentro del motor V8. Un atacante puede explotar este fallo a través de una página web maliciosa que ejecute código diseñado para activar la vulnerabilidad. Si un usuario visita dicha página con una versión vulnerable del navegador, el atacante podría obtener ejecución de código dentro del proceso del navegador y, en combinación con otras técnicas, comprometer el sistema de la víctima.

Versiones afectadas

Versiones de Google Chrome anteriores a 146.0.7680.75 en Windows, macOS y Linux.

Recomendaciones

Actualizar Google Chrome a 146.0.7680.75 o posterior.

Workarounds

No hay workarounds para estas vulnerabilidades.

Referencias

• https://chromereleases.googleblog.com/2026/03/stable-channel-update-for-desktop_12.html
• https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-chrome-de-google
• https://thehackernews.com/2026/03/google-fixes-two-chrome-zero-days.html

Vulnerabilidad crítica - 16/03

Introducción

CVE‑2026‑3916 se clasifica como una lectura fuera de los límites de memoria (out‑of‑bounds read) que afecta al componente Web Speech del navegador Google Chrome. Este componente es responsable de proporcionar funcionalidades de reconocimiento y síntesis de voz, lo que permite a los sitios web interactuar con el usuario mediante comandos de voz o generar respuestas habladas.

Análisis

CVE-2026-3916 - CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H - 9,6

CVE‑2026‑3916 se origina en el componente Web Speech de Google Chrome, encargado de procesar funciones de reconocimiento y síntesis de voz. Este componente utiliza buffers de memoria para almacenar temporalmente los datos de audio y sus procesos asociados. El fallo ocurre porque al manejar ciertos datos de entrada, Web Speech intenta acceder a áreas de memoria fuera de los límites asignados, es decir, lee información que no debería estar disponible para la página web o el proceso que lo ejecuta.

El ataque se puede realizar de manera remota y no requiere permisos especiales: basta con que un usuario visite una página web maliciosa o reproduzca un audio manipulado que contenga datos diseñados para provocar esta lectura fuera de límites. Cuando el navegador procesa estos datos, el código de Web Speech confía en que la información recibida está dentro de los límites esperados, y al no ser así, se produce una exposición de memoria sensible. Esto podría permitir al atacante acceder a información privada que normalmente está aislada dentro del proceso del navegador.

Aunque por sí sola esta vulnerabilidad no permite ejecutar código arbitrario, su importancia radica en que puede ser utilizada como primer paso en un ataque más complejo, combinándola con otras fallas de seguridad como errores de corrupción de memoria o vulnerabilidades tipo use-after-free. En estos escenarios, un atacante podría incluso llegar a comprometer la seguridad del sandbox de Chrome, que normalmente aísla los procesos del navegador para proteger el sistema y los datos del usuario.

Versiones afectadas

Versiones anteriores a la 146.0.7680.71.

Recomendaciones

Actualizar Chrome a la versión 146.0.7680.71 o posterior.

Workarounds

No hay workarounds para esta vulnerabilidad.

Referencias

• https://chromereleases.googleblog.com/2026/03/stable-channel-update-for-desktop_10.html
• https://csirt.telconet.net/comunicacion/boletines-servicios/actualizacion-de-seguridad-de-google-chrome-corrige-29-vulnerabilidades-criticas/
• https://www.suse.com/security/cve/CVE-2026-3916.html

Vulnerabilidad crítica - 14/04

Introducción

CVE-2026-5874 corresponde a un fallo de seguridad identificado en PrivateAI de Google Chrome. Se trata de una vulnerabilidad de tipo use-after-free, una categoría de errores de gestión de memoria que ocurre cuando un programa continúa utilizando un recurso de memoria después de haber sido liberado. Este tipo de fallos puede derivar en corrupción de memoria y, en escenarios más avanzados, en la ejecución de código arbitrario.

La explotación de esta vulnerabilidad es posible a través de contenido web especialmente diseñado. Un atacante remoto podría inducir a la víctima a acceder a una página maliciosa que contenga código preparado para aprovechar este fallo. En este contexto, la interacción del usuario es necesaria para desencadenar el comportamiento vulnerable.

Análisis

CVE-2026-5874 - CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:HC - 9,6

CVE-2026-5874 se fundamenta en un error de gestión de memoria del tipo use-after-free dentro del navegador Google Chrome, lo que implica una desincronización entre la liberación de un recurso y su uso posterior. En condiciones normales, el navegador reserva memoria para gestionar distintos objetos como elementos de una página web o componentes internos como PrivateAI, la utiliza durante su ciclo de vida y, finalmente, la libera cuando deja de ser necesaria. Sin embargo, en este caso, aunque la memoria se libera correctamente, el sistema mantiene referencias activas a ese espacio, lo que provoca que se vuelva a acceder a él de manera indebida.

A partir de esta situación, un atacante puede diseñar una página web específicamente preparada para explotar el fallo. En primer lugar, induce al navegador a crear y destruir ciertos objetos en momentos concretos, generalmente mediante contenido dinámico o interacciones controladas. A continuación, cuando la memoria ya ha sido liberada, el atacante fuerza nuevas asignaciones que reutilicen ese mismo espacio, logrando así introducir datos manipulados en la zona previamente ocupada por el objeto original.

De este modo, cuando el navegador intenta acceder de nuevo a ese objeto, en realidad está procesando información controlada por el atacante. Como consecuencia, se puede alterar el comportamiento interno del programa, lo que puede derivar en la ejecución de código arbitrario, la corrupción de estructuras de memoria o incluso la desviación del flujo de ejecución.

Cabe destacar que, para que la explotación tenga éxito, suele ser necesaria cierta interacción por parte del usuario, como realizar clics o ejecutar acciones dentro de la página maliciosa. Esto permite sincronizar con mayor precisión los eventos necesarios para provocar el fallo.

Aunque esta vulnerabilidad puede parecer limitada de forma aislada, su verdadero riesgo radica en que puede integrarse en cadenas de ataque más complejas. Así, un atacante podría utilizarla como punto de entrada para ejecutar código dentro del navegador y, posteriormente, combinarla con otros fallos con el objetivo de evadir mecanismos de seguridad como el sandbox y comprometer el sistema en su conjunto.

Versiones afectadas

Versiones de Chrome anteriores a la 147.0.7727.55.

Recomendaciones

Actualizar Google Chrome a versión 147.0.7727.55 o superior.

Workarounds

No hay workarounds para esta vulnerabilidad.

Referencias

• https://chromereleases.googleblog.com/2026/04/stable-channel-update-for-desktop.html
• https://access.redhat.com/security/cve/cve-2026-5874
• https://windowsforum.com/threads/cve-2026-5874-privateai-use-after-free-chrome-147-0-7727-55-sandbox-escape-risk.411635/

Vulnerabilidad crítica - 20/04

Introducción

CVE-2026-6296 es una vulnerabilidad crítica descubierta en el motor de renderizado gráfico utilizado por navegadores basados en Chromium, específicamente en el componente ANGLE (Almost Native Graphics Layer Engine), integrado en Google Chrome. Esta vulnerabilidad se clasifica como un desbordamiento de búfer en el heap (heap buffer overflow), lo que implica que el sistema permite escribir datos fuera de los límites de memoria asignados dinámicamente. Este tipo de fallo es especialmente peligroso porque puede corromper estructuras internas del programa y facilitar la ejecución de código arbitrario.

ANGLE actúa como una capa de abstracción gráfica que traduce llamadas de APIs como OpenGL ES (usadas en WebGL) a APIs nativas del sistema (DirectX, Vulkan, Metal, etc.), lo que permite que el contenido web con gráficos avanzados (como juegos en navegador o aplicaciones 3D) funcione de forma consistente en diferentes plataformas. ANGLE procesa datos complejos y potencialmente no confiables provenientes de sitios web y opera en una zona crítica del navegador con acceso a recursos de GPU y memoria, por lo que puede ser objetivo de ataques de corrupción de memoria.

Análisis

CVE-2026-6296 - CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H - 9,6

CVE-2026-6296 se origina en el componente ANGLE de Google Chrome, que actúa como intermediario entre las aplicaciones web que utilizan WebGL y las API gráficas del sistema operativo. ANGLE es responsable de traducir instrucciones gráficas complejas procedentes de una página web a llamadas nativas de la GPU, lo que implica el procesamiento continuo de datos no totalmente confiables.

En ocasiones, ANGLE maneja de forma incorrecta determinados buffers en memoria durante estas operaciones gráficas. Debido a una falta de validación adecuada de los límites o a errores en el cálculo del tamaño de los datos, se produce un desbordamiento de búfer en el heap, lo que significa que el programa escribe información fuera del espacio de memoria que tenía reservado, resultando en la corrupción de estructuras adyacentes dentro del heap.

Esta corrupción no es aleatoria, ya que en un escenario de explotación un atacante puede influir en los datos que se escriben fuera de los límites, consiguiendo modificar punteros o estructuras internas del proceso del renderizador. A partir de ese punto, el fallo deja de ser únicamente un problema de estabilidad y puede convertirse en una primitiva de control de memoria que permite alterar el flujo de ejecución del programa.

Si el atacante consigue suficiente control sobre la memoria, puede redirigir la ejecución hacia código inyectado o reutilizar fragmentos de memoria existentes para ejecutar instrucciones arbitrarias dentro del proceso del navegador. Dado que este proceso está aislado mediante un sandbox, el impacto inicial se limita a ese entorno. Sin embargo, en determinadas condiciones, esta corrupción puede ser utilizada como parte de una cadena de explotación más amplia, permitiendo potencialmente romper el aislamiento del sandbox mediante técnicas adicionales.

Versiones afectadas

Versiones anteriores a 147.0.7727.101.

Recomendaciones

Actualizar Google Chrome a la versión 147.0.7727.101 o superior. Esta medida también debe aplicarse a otros navegadores basados en Chromium, como Microsoft Edge, Brave Browser y Opera.

Workarounds

No hay workarounds para esta vulnerabilidad.

Referencias

• https://chromereleases.googleblog.com/2026/04/stable-channel-update-for-desktop_15.html
• https://www.rapid7.com/db/vulnerabilities/google-chrome-cve-2026-6296/
• https://access.redhat.com/security/cve/cve-2026-6296