Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Vulnerabilidad Vulnerabilidad de Chrome CVE-2026-11645

Vulnerabilidad de Chrome CVE-2026-11645

Por Mezo en Vulnerabilidad
Traducir a:

Google ha publicado actualizaciones de seguridad de emergencia para solucionar otra vulnerabilidad de día cero que está siendo explotada activamente en el navegador Chrome. Esta vulnerabilidad, identificada como CVE-2026-11645, es la quinta vulnerabilidad de día cero de Chrome que la compañía corrige desde principios de 2026.

Según Google, existen pruebas que confirman que ya se está utilizando una vulnerabilidad explotada en ataques reales. El problema se reportó de forma anónima a la empresa y, posteriormente, se implementó una solución a través del canal Stable Desktop.

Actualmente, las versiones parcheadas se están implementando globalmente para Windows (149.0.7827.102), macOS (149.0.7827.103) y Linux (149.0.7827.102). Sin embargo, el proceso de actualización puede tardar varios días o incluso semanas en llegar a todos los usuarios de Chrome.

Para quienes no instalan las actualizaciones manualmente, Chrome está diseñado para buscar y aplicar automáticamente las correcciones de seguridad disponibles durante el siguiente inicio del navegador.

Dentro de CVE-2026-11645: Un peligroso fallo en el motor V8

Esta vulnerabilidad de alta gravedad se origina en una debilidad de lectura y escritura fuera de los límites de la memoria dentro del motor JavaScript V8 de Chrome. Los atacantes pueden explotar esta vulnerabilidad mediante páginas HTML especialmente diseñadas, lo que podría permitir la ejecución de código arbitrario dentro del entorno aislado del navegador.

Una explotación exitosa puede provocar la corrupción de la memoria dinámica, lo que permite a los atacantes acceder a ella fuera de los límites previstos. Este comportamiento puede exponer información confidencial, provocar fallos en el navegador o facilitar otras actividades maliciosas.

Además del acceso no autorizado a la memoria, la vulnerabilidad también podría aprovecharse para eludir las medidas de seguridad como la aleatorización del diseño del espacio de direcciones (ASLR), lo que aumenta la probabilidad de lograr la ejecución de código cuando se combina con otras debilidades.

Divulgación limitada para proteger a los usuarios.

Aunque Google ha reconocido la explotación activa de la vulnerabilidad, la compañía aún no ha revelado detalles técnicos sobre los ataques. El acceso a la información sobre el error y los recursos relacionados podría permanecer restringido hasta que una parte significativa de los usuarios de Chrome haya instalado la actualización de seguridad.

Las restricciones también pueden continuar si el código afectado se encuentra dentro de bibliotecas de terceros que son utilizadas por otros proyectos y que aún no han implementado sus propias correcciones.

Una lista cada vez mayor de amenazas de día cero en 2026

La vulnerabilidad CVE-2026-11645 se suma a otras vulnerabilidades de día cero de Chrome que han sido explotadas activamente este año:

  • CVE-2026-2441: una vulnerabilidad de invalidación de iterador en CSSFontFeatureValuesMap, corregida en febrero.
  • CVE-2026-3909: Un fallo de escritura fuera de límites en la biblioteca de gráficos 2D Skia, explotado en marzo.
  • CVE-2026-3910: una vulnerabilidad de implementación inadecuada que afecta al motor V8 de JavaScript y WebAssembly, que también fue explotada en marzo.
  • CVE-2026-5281: una vulnerabilidad de uso de memoria liberada en Dawn, la implementación multiplataforma de WebGPU de Chromium, parcheada en abril.

La batalla constante de Chrome contra las vulnerabilidades de día cero

La última actualización de emergencia pone de relieve la persistente amenaza que representan las vulnerabilidades de día cero dirigidas a los navegadores web modernos. A lo largo de 2025, Google solucionó ocho vulnerabilidades adicionales de día cero en Chrome que habían sido explotadas. Varias de estas vulnerabilidades fueron identificadas por el Grupo de Análisis de Amenazas (TAG) de Google, un equipo especializado conocido por rastrear operaciones sofisticadas de ciberespionaje y campañas de spyware.

El descubrimiento continuo de fallos que se explotan activamente subraya la importancia de las actualizaciones oportunas de los navegadores y la rápida corrección de vulnerabilidades para proteger a los usuarios contra las amenazas cibernéticas en constante evolución.

Tendencias

Estafa por correo electrónico sobre presupuestos y...

Suplantación de identidad (phishing), Correo basura
Los ciberdelincuentes perfeccionan constantemente sus tácticas para que los correos electrónicos fraudulentos parezcan convincentes, por lo que es fundamental estar alerta ante cualquier mensaje inesperado. Incluso los correos que parecen profesionales y relacionados con el trabajo pueden ser estafas cuidadosamente elaboradas para robar información confidencial. La campaña de correo electrónico...

Mas Visto

Cargando...