Actualización Crítica de Google Chrome (Versión 150) Corrige Fallos Zero-Click en Ozone 

Google

Google ha lanzado una actualización de seguridad para el canal estable de Chrome que corrige 150 vulnerabilidades. Destacan dos fallos críticos de seguridad de memoria (Use-After-Free) en el componente Ozone, los cuales podrían permitir la Ejecución Remota de Código (RCE) en los sistemas afectados. 


Veredicto Analítico 
  • Estado: Confirmado. Parche estable en fase de despliegue global para Windows, macOS y Linux. Google mantiene restringidos los detalles técnicos para evitar la explotación activa antes de que el parche se adopte masivamente. 
  • Confianza: Absoluta. Validado mediante el boletín de actualización oficial de Google Chrome. 
  • Riesgo para SOC, TDIR y Redes: Alto (a nivel de endpoint). Los fallos de corrupción de memoria en navegadores web representan el vector principal para comprometer el sistema operativo de los usuarios mediante la simple visita a un sitio web malicioso. 
  • Urgencia Operativa: Alta. Se requiere la actualización inmediata en el parque informático para mitigar el riesgo de explotación mediante ataques del tipo Drive-by Compromise. 
  • Base del Veredicto: Presencia de múltiples vulnerabilidades críticas de Use-After-Free, uso de memoria no inicializada y desbordamiento de búfer en componentes centrales del navegador como Ozone, V8, Skia y libyuv. 

Hallazgos Clave 
  • Versiones Seguras: 150.0.7871.124/.125 (Windows/macOS) y 150.0.7871.124 (Linux). 
  • Vulnerabilidades Críticas (Ozone): CVE-2026-15764 y CVE-2026-15765. Ambas de tipo Use-After-Free en Ozone, la capa responsable de las ventanas, entrada, gráficos y visualización multiplataforma de Chrome. 
  • Componentes de Alta Severidad Afectados: 
  • Gráficos y Medios: Fallos en Skia (biblioteca de renderizado de gráficos), libyuv (conversión de formatos de imagen/video) y la GPU. 

Análisis Técnico: Mecanismo de Explotación 
  • Atracción: Un atacante diseña una página web maliciosa o incrusta contenido manipulado en un sitio legítimo comprometido. 
  • Activación de la Vulnerabilidad: Cuando la víctima renderiza el contenido, los fallos en Ozone o V8 se activan. En los casos de Use-After-Free, el navegador intenta acceder a un bloque de memoria que ya ha sido liberado por el sistema. 
  • Ejecución de Código: Al manipular esta memoria reasignada, el atacante altera el flujo de ejecución normal de la aplicación, logrando inyectar y ejecutar código arbitrario en la máquina de la víctima para evadir las restricciones de aislamiento (sandbox). 

Tácticas, Técnicas y Procedimientos (MITRE ATT&CK) 
  • Acceso Inicial: Compromiso por Descarga Oculta (Drive-by Compromise – T1189). 
  • Ejecución: Explotación para Ejecución de Código en el Cliente (Exploitation for Client Execution – T1203). 

Recomendaciones Operativas 

Para Administración de Redes y TI (Acción Prioritaria) 

  • Forzar Actualización: Desplegar la actualización de Google Chrome a través de políticas de gestión de dispositivos (MDM/GPO) para asegurar que todos los endpoints alcancen las versiones 150.0.7871.124 o .125 a la brevedad. 
  • Reinicio de Aplicación: Instruir a los usuarios corporativos para que apliquen las actualizaciones pendientes simplemente reiniciando sus navegadores. 

Para el Centro de Operaciones de Seguridad (SOC) 

  • Monitoreo de Estabilidad: Vigilar posibles bloqueos o cierres inesperados de la aplicación chrome.exe a nivel del EDR, ya que los fallos repetitivos suelen ser un indicador temprano de compromisos fallidos o pruebas de exploits de corrupción de memoria en la red. 

Desglose Detallado de Vulnerabilidades Clave 
  • CVE-2026-15764: Crítico – Uso después de la liberación de memoria (Use-After-Free) en Ozone. 
  • CVE-2026-15765: Crítico – Uso después de la liberación de memoria en Ozone. 
  • CVE-2026-15767: Alto – Desbordamiento del búfer de montón (Heap Buffer Overflow) en libyuv. 
  • CVE-2026-15768: Alto – Aplicación insuficiente de políticas en HTML-in-Canvas. 
  • CVE-2026-15769: Alto – Validación insuficiente de datos en Linux Toolkit Theming. 
  • CVE-2026-15770: Alto – Uso de memoria no inicializada en el motor V8. 
  • CVE-2026-15771: Alto – Validación insuficiente de datos en Media. 
  • CVE-2026-15772: Alto – Uso después de la liberación de memoria en la GPU. 
  • CVE-2026-15773: Alto – Uso después de la liberación de memoria en Core. 
  • CVE-2026-15774: Alto – Uso después de la liberación de memoria en Skia. 
  • CVE-2026-15775: Alto – Aplicación insuficiente de políticas en el motor V8. 
  • CVE-2026-15777: Alto – Uso después de la liberación de memoria en la Interfaz de Usuario (UI). 
  • CVE-2026-15778: Medio – Validación insuficiente de datos en Navegación. 

Related Post