Publicado el

Parche – Google Chrome

 

Google ha lanzado Chrome 148 con un total de 127 correcciones de seguridad.  Incluye 3 vulnerabilidades críticas, más de 30 de alta gravedad, además de fallos medianos y bajos. 

Vulnerabilidades críticas
    • Una vulnerabilidad de tipo integer overflow en Blink (CVE?2026?7896) que podría permitir ataques remotos mediante páginas HTML maliciosas. 
    • Otras dos fallas críticas de tipo use?after?free (CVE?2026?7897 y CVE?2026?7898) en componentes Mobile y Chromoting. 
Fallos de alta gravedad
    • Más de 30 vulnerabilidades relevantes, muchas relacionadas con errores de memoria (use?after?free). 
    • Afectan a múltiples componentes del navegador, como:
      • V8 (motor JavaScript), GPU, WebRTC, ANGLE
      • DOM, SVG, ServiceWorker, Media, DevTools, etc. 

También se corrigieron problemas como:

        • Desbordamientos de memoria
        • Lecturas/escrituras fuera de límites
        • Validación insuficiente de datos 
Recompensas (bug bounty)
    • Google pagó al menos 138.000 dólares a investigadores externos. 
    • Algunas recompensas destacadas:
      • 43.000 $ por la vulnerabilidad crítica de Blink. 
      • 55.000 $ por un fallo en el motor V8. 
Disponibilidad

La nueva versión ya se distribuye como:

      • 148.0.7778.96 (Linux)
      • 148.0.7778.96/97 (Windows y macOS)

Referencias

Publicado el

Parche – Android Mayo 2026

El boletín de Android, relativo al mes de mayo de 2026, soluciona una vulnerabilidad de severidad crítica que afecta a su sistema operativo, que podría provocar ejecución remota de código.

 

Detalle

El boletín de Android, relativo al mes de mayo de 2026, soluciona una vulnerabilidad de severidad crítica que afecta a su sistema operativo, que podría provocar ejecución remota de código.  La vulnerabilidad tiene el CVE-2026-0073
 
Este hace referencia a en adbd_tls_verify_cert de auth.cpp, existe una posible derivación de autenticación mutua ADB inalámbrica debido a un error lógico en el código; esto podría provocar la ejecución de código remoto (próximo o adyacente) como usuario de shell sin necesidad de privilegios de ejecución adicionales. No se necesita la interacción del usuario para la explotación.
 

Recursos Afectados

      • Android Open Source Project (AOSP): versiones 14, 15, 16, 16-qpr2 (System);
      • Google Play, subcomponente: adbd.

 

:Solución

En caso de utilizar dispositivos Android, se debe comprobar que el fabricante haya publicado un parche de seguridad y actualizarlo.
Puede consultar cómo verificar la versión de Android de un dispositivo y la fecha del parche de seguridad de algunos fabricantes. En el caso de seguir con esta guía y no se pueda comprobar la versión de los dispositivos o la fecha del parche de seguridad, se recomienda revisar la página del fabricante.
 

Referencias

Publicado el

Vulnerabilidad crítica en Google Gemini CLI

      • Google corrigió una vulnerabilidad de máxima gravedad (CVSS 10.0) en Gemini CLI, tanto en el paquete npm @google/gemini-cli como en el workflow de GitHub Actions google-github-actions/run-gemini-cli. 
      • El fallo permitía que atacantes externos sin privilegios ejecutaran comandos arbitrarios en el sistema anfitrión, antes incluso de que se iniciara el sandbox de seguridad. 
      • El problema se daba en entornos CI/CD en modo «headless», donde la herramienta confiaba automáticamente en los directorios de trabajo, incluso si contenían código no confiable (por ejemplo, pull requests de terceros).

Versiones afectadas

      • @google/gemini-cli < 0.39.1
      • @google/gemini-cli < 0.40.0-preview.3
      • google-github-actions/run-gemini-cli < 0.1.22 
Mitigación aplicada por Google
    • Ahora los directorios deben marcarse explícitamente como confiables antes de cargar configuraciones.
    • Recomendaciones:
      • Para entradas confiables: definir GEMINI_TRUST_WORKSPACE: ‘true’.
      • Para entradas no confiables: endurecer los workflows siguiendo la guía oficial y configurar manualmente la confianza.
    • Se reforzó además el control de herramientas en el modo –yolo, que antes permitía ejecutar comandos sin validación, incluso por inyección de prompts.
Fallos de ejecución de código en Cursor IDE
    • Se identificó una vulnerabilidad grave en Cursor IDE (CVE-2026-26268, CVSS 8.1) anterior a la versión 2.5. 
    • Permitía ejecución automática de código mediante:
      • Repositorios Git con hooks maliciosos
      • Instrucciones ocultas procesadas por el agente de IA
    • Operaciones Git ejecutadas de forma autónoma por el agente tras una petición aparentemente inocua del usuario.
Causa raíz

No es un bug clásico de Cursor, sino una interacción peligrosa entre agentes de IA y funcionalidades de Git que se vuelve explotable cuando el agente ejecuta comandos sin visibilidad completa del riesgo.

Otra vulnerabilidad grave: «CursorJacking» (CVSS 8.2)
    • Se descubrió un problema adicional de control de acceso:
      • Cualquier extensión instalada puede acceder a una base de datos SQLite local.
      • Esto permite robo de claves API, tokens de sesión, secuestro de cuentas y pérdidas financieras. 
    • Este fallo sigue sin parchear.
    • Cursor recomienda, como mitigación parcial, instalar únicamente extensiones confiables, aunque el riesgo persiste. 
Conclusión
    • El artículo destaca cómo los agentes de IA integrados en herramientas de desarrollo pueden ampliar la superficie de ataque cuando se combinan con automatización, CI/CD y repositorios no confiables.
    • Subraya la importancia de:
      • No confiar automáticamente en entradas externas
      • Revisar cuidadosamente los permisos y flujos de trabajo en herramientas impulsadas por IA
      • Limitar la ejecución automática de comandos en sistemas críticos.

Referencias

Publicado el

Actualizaciones críticas en Google Chrome 147 y Mozilla Firefox 150

Se han publicado nuevas actualizaciones de seguridad para los navegadores Google Chrome (versión 147) y Mozilla Firefox (versión 150), que corrigen múltiples vulnerabilidades de severidad crítica y alta. Estas fallas podrían permitir a un atacante ejecutar código arbitrario en los sistemas afectados mediante contenido web malicioso, por lo que se recomienda aplicar los parches con carácter prioritario. AnálisisLas actualizaciones recientes abordan principalmente vulnerabilidades de seguridad relacionadas con corrupción de memoria, un tipo de fallo altamente explotable en navegadores modernos. 

      • Chrome 147 corrige 30 vulnerabilidades, incluyendo 4 críticas de tipo use-after-free.
      • Firefox 150.0.1 soluciona múltiples fallos críticos y altos, principalmente relacionados con memory corruption.

Este tipo de vulnerabilidades puede ser explotado simplemente al visitar una página web especialmente diseñada. 

Recursos Afectados

      • Equipos con versiones anteriores a:
        • Chrome 147.0.7727.137/138 (Windows/macOS)
        • Firefox 150.0.1 o versiones ESR corregidas
      • Sistemas Windows, macOS y Linux con navegadores no actualizados.
      • Entornos corporativos donde el navegador sea un vector de acceso a aplicaciones internas.

Recomendaciones

      • Actualizar inmediatamente:
        • Google Chrome a versión 147 o superior
        • Mozilla Firefox a versión 150.0.1 o superior
      • Verificar que las actualizaciones automáticas estén habilitadas.
      • Reiniciar los navegadores tras la actualización.
      • Evitar el acceso a sitios web no confiables o enlaces sospechosos.
      • Mantener soluciones de seguridad endpoint activas y actualizadas.

Referencias

      • https://www.securityweek.com/chrome-147-firefox-150-security-updates-rolling-out/