Publicado el por Seguridad CSIRT-CV

Actualización de seguridad de Google Chrome

Actualización crítica de seguridad en Google Chrome 

Google ha publicado una actualización de seguridad para Google Chrome  que corrige un total de 79 vulnerabilidades, entre ellas 14 de severidad crítica y 37 de gravedad alta.

Entre los fallos corregidos destacan CVE-2026-8509, una vulnerabilidad de tipo desbordamiento de búfer en WebML, y CVE-2026-8510, una vulnerabilidad de desbordamiento entero en Skia. Debido a su criticidad, estas vulnerabilidades podrían permitir, en determinados escenarios, la ejecución de código mediante páginas web especialmente diseñadas.

Google no ha informado de que estas vulnerabilidades estén siendo explotadas activamente. No obstante, debido al elevado número de fallos críticos y de alta gravedad corregidos, así como al uso generalizado de Google Chrome, se recomienda actualizar el navegador lo antes posible.

Las versiones corregidas son:

Linux: 148.0.7778.167 o superior
Windows y macOS: 148.0.7778.167/168 o superior

Análisis

La actualización de Google Chrome 148 corrige vulnerabilidades en múltiples componentes del navegador. Entre los tipos de fallos solucionados se incluyen desbordamientos de búfer, desbordamientos enteros, vulnerabilidades de tipo use-after-free, problemas de validación de datos, condiciones de carrera, lecturas fuera de límites y confusión de tipos.

La vulnerabilidad CVE-2026-8509 afecta al componente WebML y ha sido clasificada como crítica. Se trata de un desbordamiento de búfer en memoria que, en determinadas condiciones, podría permitir la ejecución de código mediante una página web especialmente diseñada. Google recompensó este hallazgo con 43.000 dólares dentro de su programa de recompensas.

La vulnerabilidad CVE-2026-8510 afecta a Skia, biblioteca gráfica utilizada por Chrome. Este fallo consiste en un desbordamiento entero y también ha sido clasificado como crítico. Google asignó una recompensa de 25.000 dólares al investigador que reportó esta vulnerabilidad.

Además de estas dos vulnerabilidades, la actualización corrige otras 12 vulnerabilidades críticas y 37 vulnerabilidades de alta gravedad que afectan a distintos componentes del navegador. Muchas de ellas están relacionadas con errores de memoria, validación insuficiente, ciclo de vida de objetos y problemas de seguridad que podrían ser aprovechados mediante contenido web malicioso.

  • En conjunto, estas vulnerabilidades pueden permitir:
  • ejecución de código arbitrario;
  • corrupción de memoria;
  • lectura o escritura fuera de límites;
  • denegación de servicio;
  • bypass de medidas de seguridad;
  • compromiso del navegador mediante páginas web maliciosas.

Aunque no se ha informado de explotación activa, el riesgo se considera elevado por la criticidad de los fallos corregidos y por el uso habitual de Chrome para acceder a servicios web, correo electrónico, portales corporativos y aplicaciones internas.

Recursos afectados

Las vulnerabilidades afectan a versiones de Google Chrome anteriores a las versiones corregidas.

Las versiones corregidas son:

Linux

148.0.7778.167 o superior

Windows

148.0.7778.167/168 o superior

macOS

148.0.7778.167/168 o superior

También se recomienda revisar navegadores basados en Chromium, ya que podrían verse afectados por vulnerabilidades similares si no han incorporado las correcciones correspondientes.

Según el listado de tecnologías disponible, se identifica presencia de Google Chrome y Chromium. Además, se indica que en determinados entornos, como OSI, Chrome podría no actualizarse automáticamente, por lo que se recomienda validar manualmente la versión instalada.

Recomendaciones

Se recomienda actualizar Google Chrome lo antes posible a la última versión disponible.

Para comprobar la versión instalada y forzar la búsqueda de actualizaciones, se debe acceder a:

Menú de Chrome > Ayuda > Información de Google Chrome

En caso de existir una actualización pendiente, Chrome iniciará automáticamente el proceso de actualización al acceder a este apartado. Una vez finalizada, será necesario reiniciar el navegador para que los cambios surtan efecto.

Además, se recomienda:

verificar que la versión instalada sea 148.0.7778.167/168 o superior, según el sistema operativo;

actualizar también navegadores basados en Chromium cuando sus fabricantes publiquen las versiones corregidas;

evitar acceder a enlaces o páginas web sospechosas hasta confirmar que el navegador está actualizado;

priorizar la actualización en equipos utilizados para acceder a aplicaciones corporativas, portales internos, correo web o información sensible;

mantener activadas las actualizaciones automáticas del navegador siempre que sea posible.

Debido al número de vulnerabilidades críticas y de alta gravedad corregidas, se recomienda tratar esta actualización con prioridad alta, aunque no se haya informado de explotación activa.

Referencias

[1] SecurityWeek – Chrome 148 Update Patches Critical Vulnerabilities

[2] Google Chrome Releases – Stable Channel Update for Desktop