Publicado el

Vulnerabilidad – Google Chrome

CVE-2026-5281, que afecta al navegador Google Chrome, ha sido explotada activamente como zero-day en el momento de su divulgación. Se trata de un error de tipo use-after-free (CWE-416), una categoría de vulnerabilidades de corrupción de memoria que se produce cuando una aplicación continúa utilizando un área de memoria después de haber sido liberada. Este comportamiento puede derivar en inestabilidad del sistema, ejecución de código arbitrario o incluso en la evasión de mecanismos de seguridad del navegador.
El fallo se localiza en el componente Dawn, que es la implementación de WebGPU en Chromium y, por extensión, en Chrome. Este componente permite la ejecución de gráficos avanzados y operaciones de cómputo en la GPU desde el navegador, lo que amplía significativamente la superficie de ataque al procesar contenido web potencialmente malicioso. Un atacante puede aprovechar esta vulnerabilidad mediante la creación de una página web especialmente diseñada que desencadene la condición de use-after-free al interactuar con las capacidades de WebGPU. En este escenario, basta con que la víctima visite el sitio malicioso para que el exploit se ejecute en el contexto del proceso de renderizado del navegador.
 

Análisis

  • CVE-2026-5281 se produce cuando el navegador continúa accediendo a regiones de memoria previamente liberadas, generando un estado de inconsistencia que puede ser aprovechado por un atacante para ejecutar código arbitrario.
En condiciones normales, Chrome reserva memoria para representar recursos gráficos y operaciones de la GPU, liberando dichos bloques cuando dejan de ser necesarios. El fallo se presenta cuando, tras la liberación, el navegador intenta reutilizar estas estructuras de manera no controlada. Un atacante puede inducir este comportamiento mediante la carga de contenido web especialmente diseñado que fuerza el acceso a memoria liberada. Como resultado, la memoria puede contener datos manipulados por el atacante, lo que permite la corrupción de estructuras internas del navegador y la posible ejecución de instrucciones no autorizadas dentro del proceso del renderizador.
La explotación de esta vulnerabilidad puede provocar fallos del navegador y corrupción de memoria, comprometiendo la integridad y disponibilidad de la aplicación. En escenarios más avanzados, combinada con otros vectores de ataque, podría permitir la evasión del sandbox de Chrome y el compromiso del sistema host, aumentando significativamente el riesgo asociado.
 

Versiones afectadas

Recomendaciones

      • Instalar la ultima versión.
    •  
Publicado el

Mozilla publica actualizaciones de seguridad para una vulnerabilidad crítica en Thunderbird

Mozilla ha publicado actualizaciones de seguridad para corregir una vulnerabilidad en su cliente de correo electrónico Thunderbird, identificada como CVE-2026-4371. Este fallo podría permitir a un atacante comprometer la confidencialidad de la información o provocar fallos en la aplicación.

Análisis

La vulnerabilidad CVE-2026-4371 está clasificada con una severidad alta (CVSS 7.4) y afecta al parser de correo de Thunderbird. El fallo se produce debido a una incorrecta validación de cadenas con longitudes negativas, lo que provoca una lectura de memoria fuera de los límites del búfer (out-of-bounds read).

Un atacante podría explotar esta vulnerabilidad mediante un servidor de correo malicioso o una conexión comprometida, enviando datos especialmente diseñados que desencadenen el error en el procesamiento. Como consecuencia, el cliente podría bloquearse (DoS) o incluso filtrar información sensible almacenada en memoria.

Aunque la explotación requiere ciertas condiciones, como el control o compromiso del servidor de correo, no requiere interacción del usuario ni privilegios previos, lo que aumenta su impacto potencial en entornos donde Thunderbird se utiliza de forma habitual. Mozilla ha publicado versiones corregidas del producto, solucionando el problema en las versiones más recientes del cliente.

Vulnerabilidades

CVE-2026-4371
Producto: Mozilla Thunderbird
Versiones afectadas: versiones anteriores a 149 y 140.9 ESR
Actualización: solucionado en Thunderbird 149 y Thunderbird 140.9 ESR o versiones posteriores.

Recomendaciones

Se recomienda actualizar Thunderbird a la última versión disponible lo antes posible para mitigar el riesgo. Asimismo, se aconseja evitar conexiones a servidores de correo no confiables y monitorizar comportamientos anómalos en el cliente de correo.

Fuentes

https://nvd.nist.gov/vuln/detail/CVE-2026-4371
https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/cve-2026-4371

    •  
Publicado el

Vulnerabilidades críticas en Google Chrome

La compañía Google ha publicado una actualización de seguridad para su navegador Google Chrome versión 146, con el objetivo de corregir múltiples vulnerabilidades de alta severidad relacionadas principalmente con fallos de seguridad en la gestión de memoria.
Estas vulnerabilidades podrían ser explotadas por atacantes para provocar fallos en el navegador, ejecutar código arbitrario o acceder a información sensible. Dado que Chrome es uno de los navegadores más utilizados a nivel mundial, este tipo de fallos representa un vector de ataque especialmente relevante.

Análisis

    • CVE-2026-4673
      • Vulnerabilidad de tipo heap buffer overflow en WebAudio que puede permitir la ejecución de código arbitrario.
  •  
    • CVE-2026-4674
      • Permite la lectura de memoria fuera de límites.
  •  
    • CVE-2026-4675
      • Potencial ejecución de código o corrupción de memoria.
  •  
    • CVE-2026-4676, CVE-2026-4678, CVE-2026-4680
      • Estas fallas pueden permitir ejecución de código al reutilizar memoria liberada.

    • CVE-2026-4677
      • Vulnerabilidad de tipo heap buffer overflow en WebAudio que puede permitir la ejecución de código arbitrario.
  •  
    • CVE-2026-4679
      • Puede derivar en corrupción de memoria y ejecución de código.

Además, se menciona la reciente corrección de dos vulnerabilidades zero-day (CVE-2026-3909 y CVE-2026-3910), lo que refuerza el riesgo activo sobre este software.

Versiones afectadas

Los sistemas afectados incluyen:

    • Navegador Google Chrome en:
      • Windows
      • macOS
      • Linux
    • Versiones vulnerables anteriores a:
      • 146.0.7680.164/165 (Windows y macOS)
      • 146.0.7680.164 (Linux)

Recomendaciones

    • Instalar las versiones corregidas de Chrome 146 en todos los sistemas.
    •  
Publicado el

FRAUDE “OPERACIÓN ENDGAME”

INCIBE alerta sobre una campaña de phishing en la que los ciberdelincuentes suplantan a la Guardia Civil y a Europol a través de un correo electrónico con un archivo adjunto, donde notifican al destinatario de un supuesto delito.

Análisis 

Los atacantes utilizan tecnicismos para manipular al destinatario del correo advirtiéndole de su supuesta implicación en ciberdelitos internacionales. El objetivo es infundir miedo en la víctima para que actúe sin pensar y proporcione información sensible: personal e incluso bancaria.

Recomendaciones

Si has recibido el supuesto correo de la Guardia Civil y Europol, pero no has respondido ni has realizado ninguna otra acción:

    • Reenvíalo al buzón de INCIBE
    • Bloquea al remitente
    • Elimina el correo

Si has respondido al correo o has proporcionado algún tipo de información:

    • Contacta inmediatamente con la Línea de Ayuda en Ciberseguridad
    • Reúne y guarda todas las evidencias sobre el fraude
    • Denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado
    • Si has facilitado tus credenciales: cámbialas y activa el 2FA
    • Practica egosurfing

Referencias

Por último, te invitamos a compartir este boletín con tus allegados para fomentar y difundir una Cultura de la Ciberseguridad y buenas prácticas en el uso de las nuevas tecnologías.


Si tienes alguna inquietud sobre ciberseguridad o necesidad de formación en esta área, visita nuestras webs. Encontrarás consejos, cursos online, informes y mucho más contenido: https://www.csirtcv.gva.es/ y https://concienciat.gva.es/ y síguenos en nuestras redes sociales: Facebook (CSIRT-CV), X (@CSIRTCV) y YouTube (@csirt-cv6271)

    •