Google ha lanzado una actualización de seguridad para el canal estable de Chrome que corrige 150 vulnerabilidades. Destacan dos fallos críticos de seguridad de memoria (Use-After-Free) en el componente Ozone, los cuales podrían permitir la Ejecución Remota de Código (RCE) en los sistemas afectados.
Veredicto Analítico
- Estado: Confirmado. Parche estable en fase de despliegue global para Windows, macOS y Linux. Google mantiene restringidos los detalles técnicos para evitar la explotación activa antes de que el parche se adopte masivamente.
- Confianza: Absoluta. Validado mediante el boletín de actualización oficial de Google Chrome.
- Riesgo para SOC, TDIR y Redes: Alto (a nivel de endpoint). Los fallos de corrupción de memoria en navegadores web representan el vector principal para comprometer el sistema operativo de los usuarios mediante la simple visita a un sitio web malicioso.
- Urgencia Operativa: Alta. Se requiere la actualización inmediata en el parque informático para mitigar el riesgo de explotación mediante ataques del tipo Drive-by Compromise.
- Base del Veredicto: Presencia de múltiples vulnerabilidades críticas de Use-After-Free, uso de memoria no inicializada y desbordamiento de búfer en componentes centrales del navegador como Ozone, V8, Skia y libyuv.
Hallazgos Clave
- Versiones Seguras: 150.0.7871.124/.125 (Windows/macOS) y 150.0.7871.124 (Linux).
- Vulnerabilidades Críticas (Ozone): CVE-2026-15764 y CVE-2026-15765. Ambas de tipo Use-After-Free en Ozone, la capa responsable de las ventanas, entrada, gráficos y visualización multiplataforma de Chrome.
- Componentes de Alta Severidad Afectados:
- Motor V8: Confusión de tipos (CVE-2026-15776), uso de memoria no inicializada (CVE-2026-15770) y aplicación insuficiente de políticas (CVE-2026-15775).
- Gráficos y Medios: Fallos en Skia (biblioteca de renderizado de gráficos), libyuv (conversión de formatos de imagen/video) y la GPU.
Análisis Técnico: Mecanismo de Explotación
- Atracción: Un atacante diseña una página web maliciosa o incrusta contenido manipulado en un sitio legítimo comprometido.
- Activación de la Vulnerabilidad: Cuando la víctima renderiza el contenido, los fallos en Ozone o V8 se activan. En los casos de Use-After-Free, el navegador intenta acceder a un bloque de memoria que ya ha sido liberado por el sistema.
- Ejecución de Código: Al manipular esta memoria reasignada, el atacante altera el flujo de ejecución normal de la aplicación, logrando inyectar y ejecutar código arbitrario en la máquina de la víctima para evadir las restricciones de aislamiento (sandbox).
Tácticas, Técnicas y Procedimientos (MITRE ATT&CK)
- Acceso Inicial: Compromiso por Descarga Oculta (Drive-by Compromise – T1189).
- Ejecución: Explotación para Ejecución de Código en el Cliente (Exploitation for Client Execution – T1203).
Recomendaciones Operativas
Para Administración de Redes y TI (Acción Prioritaria)
- Forzar Actualización: Desplegar la actualización de Google Chrome a través de políticas de gestión de dispositivos (MDM/GPO) para asegurar que todos los endpoints alcancen las versiones 150.0.7871.124 o .125 a la brevedad.
- Reinicio de Aplicación: Instruir a los usuarios corporativos para que apliquen las actualizaciones pendientes simplemente reiniciando sus navegadores.
Para el Centro de Operaciones de Seguridad (SOC)
- Monitoreo de Estabilidad: Vigilar posibles bloqueos o cierres inesperados de la aplicación chrome.exe a nivel del EDR, ya que los fallos repetitivos suelen ser un indicador temprano de compromisos fallidos o pruebas de exploits de corrupción de memoria en la red.
Desglose Detallado de Vulnerabilidades Clave
- CVE-2026-15764: Crítico – Uso después de la liberación de memoria (Use-After-Free) en Ozone.
- CVE-2026-15765: Crítico – Uso después de la liberación de memoria en Ozone.
- CVE-2026-15766: Alto – Uso de memoria no inicializada en Skia.
- CVE-2026-15767: Alto – Desbordamiento del búfer de montón (Heap Buffer Overflow) en libyuv.
- CVE-2026-15768: Alto – Aplicación insuficiente de políticas en HTML-in-Canvas.
- CVE-2026-15769: Alto – Validación insuficiente de datos en Linux Toolkit Theming.
- CVE-2026-15770: Alto – Uso de memoria no inicializada en el motor V8.
- CVE-2026-15771: Alto – Validación insuficiente de datos en Media.
- CVE-2026-15772: Alto – Uso después de la liberación de memoria en la GPU.
- CVE-2026-15773: Alto – Uso después de la liberación de memoria en Core.
- CVE-2026-15774: Alto – Uso después de la liberación de memoria en Skia.
- CVE-2026-15775: Alto – Aplicación insuficiente de políticas en el motor V8.
- CVE-2026-15776: Alto – Confusión de tipos en el motor V8.
- CVE-2026-15777: Alto – Uso después de la liberación de memoria en la Interfaz de Usuario (UI).
- CVE-2026-15778: Medio – Validación insuficiente de datos en Navegación.




