Google ha lanzado una actualización de seguridad urgente para corregir 74 vulnerabilidades en su navegador Chrome, destacando una falla de alta criticidad que ya está siendo explotada por actores maliciosos. Se trata del quinto fallo de tipo zero-day (vulnerabilidades desconocidas para el fabricante hasta que se detecta el ataque) detectado en lo que va del año, lo que subraya una tendencia creciente en el aprovechamiento de brechas en navegadores web para comprometer infraestructuras corporativas.
La vulnerabilidad, identificada como CVE-2026-11645, presenta una puntuación CVSS de 8.8. Técnicamente, se describe como un acceso a memoria fuera de los límites (out-of-bounds) en V8, el motor de JavaScript y WebAssembly de código abierto de Google. Este tipo de fallo permite a un atacante remoto ejecutar código arbitrario dentro del sistema del usuario simplemente mediante la visualización de una página HTML maliciosa diseñada específicamente para este fin.
El alcance de esta amenaza no se limita solo a Google Chrome. Debido a que otros navegadores populares como Microsoft Edge, Brave, Opera y Vivaldi utilizan el motor Chromium, todos ellos son potencialmente vulnerables hasta que sus respectivos desarrolladores integren las correcciones de seguridad necesarias. La explotación activa confirmada por Google significa que existen grupos de ciberdelincuencia utilizando esta debilidad para infiltrarse en dispositivos y redes empresariales en este preciso momento.
Para mitigar este riesgo, es imperativo que los departamentos de TI aseguren la actualización inmediata de sus parques informáticos. Las versiones protegidas son la 149.0.7827.102/.103 para entornos Windows y macOS, y la 149.0.7827.102 para sistemas Linux. En la mayoría de los casos, reiniciar el navegador es suficiente para aplicar el cambio, pero se recomienda verificar manualmente la versión instalada en la sección de Ayuda de la configuración del software.
Qué significa para tu empresa: La recurrencia de ataques zero-day en navegadores demuestra que el parcheo reactivo, aunque necesario, no es suficiente para garantizar la continuidad operativa. Desde la experiencia de Ingeniería Telemática S.A.S., recomendamos robustecer la defensa mediante la protección de endpoints EDR/XDR. Estas herramientas de detección y respuesta avanzada permiten identificar comportamientos sospechosos y bloquear intentos de ejecución de código malicioso en tiempo real, incluso cuando la vulnerabilidad aún no cuenta con un parche oficial del fabricante.
Fuente original: The Hacker News — ver artículo →