Se ha emitido una alerta de máxima prioridad tras el lanzamiento de una actualización crítica de seguridad por parte de Google para su navegador Chrome. La actualización aborda un total de 30 vulnerabilidades, destacando cuatro fallas críticas de corrupción de memoria que podrían permitir a actores de amenazas ejecutar ataques de Ejecución Remota de Código (RCE). El canal estable ha sido actualizado a la versión 147.0.7727.137/138 para Windows y macOS, y a la 147.0.7727.137 para Linux.
Anatomía de las Vulnerabilidades
El núcleo de esta actualización se centra en mitigar fallas del tipo *Use-After-Free (UAF)*. Este error ocurre cuando la aplicación intenta acceder a un bloque de memoria que ya ha sido liberado, lo que permite a un atacante reasignar ese espacio con código malicioso. Los defectos más críticos reportados (por los cuales Google ha pagado recompensas sustanciales) incluyen:
- CVE-2026-7363 (Crítica): Vulnerabilidad UAF en el componente de renderizado Canvas.
- CVE-2026-7344 (Crítica): Vulnerabilidad UAF en el componente de Accesibilidad.
- CVE-2026-7343 (Crítica): Vulnerabilidad UAF en el componente Views.
- CVE-2026-7361 (Crítica): Vulnerabilidad UAF específica que afecta la arquitectura de iOS.
- CVE-2026-7333 (Alta): Vulnerabilidad UAF localizada en el procesamiento de la GPU.
Nota Operativa
Google ha restringido temporalmente el acceso público a las Pruebas de Concepto (PoC) y los detalles técnicos profundos de estos bugs hasta que la mayoría de los usuarios hayan aplicado el parche, limitando la ventana de los atacantes para desarrollar exploits.
Impacto
Ejecución ‘Zero-Click’ (Contexto Web): Un atacante remoto puede ejecutar comandos arbitrarios en la máquina de la víctima simplemente convenciéndola de visitar una página web especialmente diseñada. No se requiere que el usuario descargue o ejecute ningún archivo adicional.
Evasión de Sandbox: La explotación exitosa de estas vulnerabilidades permite a los hackers eludir las protecciones integradas (entorno aislado) de Chrome, comprometiendo directamente el sistema operativo subyacente para instalar malware, robar credenciales o establecer persistencia en la red corporativa.
Recomendaciones y Mitigación
- Actualización Forzada (Prioridad Cero): Los administradores de TI y equipos SOC deben utilizar sus sistemas de gestión de endpoints (MDM/GPO) para forzar la actualización inmediata de Google Chrome a las versiones 147.0.7727.137/138 (Windows/Mac) o 147.0.7727.137 (Linux).
- Reinicio de la Aplicación: Las actualizaciones de Chrome no se aplican en la memoria activa hasta que el navegador se reinicia por completo. Se debe emitir un boletín al personal exigiendo guardar el trabajo y reiniciar sus navegadores.
- Auditoría de Navegadores Basados en Chromium: Estas vulnerabilidades UAF afectan al motor base. Es imperativo auditar y actualizar otros navegadores que compartan el núcleo Chromium en la organización, como Microsoft Edge, Brave u Opera, a sus versiones seguras correspondientes.
