Google confirmó explotación activa en CVE-2026-3909 y CVE-2026-3910, ambos de severidad alta. El ataque solo requiere que la víctima visite un sitio malicioso.
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) añadió el 13 de marzo dos nuevas vulnerabilidades de Google Chrome a su catálogo de vulnerabilidades explotadas conocidas (KEV), tras confirmarse explotación activa en el wild. Los fallos, identificados como CVE-2026-3909 y CVE-2026-3910, afectan componentes críticos del navegador: Skia, la biblioteca de gráficos 2D, y V8, el motor de JavaScript. Ambos están clasificados como de severidad alta y representan vectores de ataque de bajo costo para los adversarios.
El equipo de Google Threat Analysis Group detectó los exploits el 10 de marzo, y la compañía reaccionó con una actualización fuera de ciclo publicada el 12 de marzo. La versión parcheada es la 146.0.7680.75/76 para Windows y macOS, y 146.0.7680.75 para Linux.
Google confirmó explícitamente que existen exploits para ambas vulnerabilidades circulando en el wild, aunque mantiene restringidos los detalles técnicos hasta que una mayoría significativa de usuarios haya aplicado el parche.
CVE-2026-3909 es una vulnerabilidad de escritura fuera de límites en Skia, la biblioteca de código abierto que Chrome utiliza para renderizar contenido web y elementos de interfaz. Este tipo de fallo permite a un atacante sobrescribir regiones adyacentes de memoria, lo que puede derivar en ejecución de código arbitrario o caída de la aplicación. En el contexto de un navegador, una escritura fuera de límites en Skia puede encadenarse con otros errores para escapar del sandbox del renderizador y comprometer el sistema subyacente.
CVE-2026-3910, por su parte, consiste en una implementación inapropiada en V8, el motor de alto rendimiento que procesa JavaScript y WebAssembly. Los fallos en V8 son objetivo frecuente de actores de amenazas dirigidas y proveedores de software espía, dado que JavaScript se ejecuta constantemente durante la navegación normal. Un atacante puede diseñar una página HTML maliciosa que, al ser visitada, active el fallo y ejecute código en el contexto del proceso del navegador.
La complejidad del ataque es baja en ambos casos: solo se requiere que la víctima acceda a un sitio web comprometido o malicioso. No hay interacción adicional necesaria. Esto convierte a las vulnerabilidades en vectores particularmente peligrosos para usuarios de la región LATAM, donde las campañas de phishing y los sitios de descarga de software pirata son vectores comunes de infección. Los sectores financiero, gubernamental y de telecomunicaciones deben priorizar la actualización inmediata de los activos expuestos a internet.
BOD 22-01 exige a las agencias federales civiles de Estados Unidos remediar las vulnerabilidades del KEV en los plazos establecidos, pero CISA recomienda encarecidamente que todas las organizaciones, públicas y privadas, traten estas vulnerabilidades como prioritarias en sus programas de gestión de vulnerabilidades.
Para actualizar Chrome manualmente: Menú → Ayuda → Información de Google Chrome → Reiniciar el navegador. La actualización automática puede demorarse si el navegador permanece abierto durante días, por lo que se recomienda reiniciar con regularidad.
FUENTE ORIGINAL
CISA↗CURADO POR
Alejandro Vargas