La vulnerabilidad use-after-free en el componente gráfico Dawn permite ejecución de código. Google confirma explotación activa y restringe detalles técnicos mientras se despliega la actualización.
Google confirmó este martes que la vulnerabilidad CVE-2026-5281 está siendo explotada activamente en ataques reales, lo que convierte a este parche en el cuarto zero-day de Chrome corregido durante 2026. La falla, clasificada de severidad alta, reside en Dawn, el componente que implementa el estándar WebGPU en Chromium y gestiona las interacciones de bajo nivel con la GPU. La actualización de emergencia eleva Chrome a las versiones 146.0.7680.177/178 para Windows y macOS, y 146.0.7680.177 para Linux, según el anuncio oficial de Chrome Releases.
El fallo crítico corresponde a una vulnerabilidad de tipo use-after-free en Dawn. Este tipo de defecto de memoria ocurre cuando el programa continúa utilizando un puntero después de que la memoria asociada ha sido liberada. En el contexto de un navegador, esta clase de vulnerabilidades permite a un atacante provocar corrupción de memoria, fallos de renderizado, caídas del navegador o en escenarios más severos, ejecución arbitraria de código dentro del proceso del renderer.
Google mantiene restringidos los detalles técnicos y los enlaces al bug hasta que la mayoría de los usuarios hayan actualizado, una práctica estándar para evitar que los actores de amenazas repliquen el exploit mientras el parche se despliega globalmente.
La actualización de marzo corrige un total de 21 vulnerabilidades de seguridad. Además del zero-day CVE-2026-5281, Google parcheó otras 19 fallas de severidad alta, incluyendo múltiples use-after-free en componentes críticos como CSS, GPU, WebCodecs, WebGL, V8 y PDF. También se corrigieron dos vulnerabilidades de severidad media en WebGL y WebCodecs.
Este es el cuarto zero-day de Chrome parcheado en lo que va de año. El primero, CVE-2026-2441, fue un fallo de invalidación de iterador en CSSFontFeatureValuesMap corregido a mediados de febrero. A principios de marzo, Google parcheó otros dos zero-days explotados activamente: CVE-2026-3909, una escritura fuera de límites en la biblioteca gráfica Skia, y CVE-2026-3910, una implementación inapropiada en el motor V8 de JavaScript y WebAssembly. El patrón sugiere una presión constante de actores de amenazas sobre los componentes gráficos y de renderizado del navegador, áreas que históricamente han sido vector de ataque para campañas de spyware y explotación dirigida.
Google no ha revelado información sobre los atacantes que explotan CVE-2026-5281 ni sobre las víctimas. Sin embargo, el hecho de que Google's Threat Analysis Group haya identificado múltiples zero-days en años anteriores vinculados a campañas de spyware sugiere que este tipo de vulnerabilidades suelen estar asociadas a actores con recursos significativos.
Las organizaciones en LATAM que manejan información sensible deben priorizar esta actualización: los navegadores son uno de los vectores de entrada más explotados en ataques de phishing y compromisos iniciales. La recomendación inmediata es verificar la versión de Chrome en chrome://settings/help y aplicar la actualización sin esperar al despliegue automático, que puede tardar días o semanas en alcanzar todos los usuarios.
FUENTE ORIGINAL
Chrome Releases↗CURADO POR
Santiago Torres