Posted on by Seguridad CSIRT-CV

Vulnerabilitat crítica en Google Chrome

S’ha identificat una vulnerabilitat crítica en Google Chrome, identificada com a CVE-2026-5874, que afecta el component PrivateAI del navegador.

Es tracta d’una fallada de tipus use-after-free, una categoria de vulnerabilitats de gestió de memòria que pot derivar en corrupció de memòria i, en escenaris avançats, en l’execució remota de codi.

Este tipus de vulnerabilitats suposa un risc rellevant en entorns corporatius, especialment en equips d’usuari que naveguen per internet, on una explotació exitosa podria comprometre la seguretat del sistema.

Anàlisi

La vulnerabilitat CVE-2026-5874 té una puntuació CVSS 9.6 (Crítica) i s’origina en un error en la gestió de memòria dins de Google Chrome.

La fallada ocorre quan el navegador continua utilitzant un bloc de memòria després d’haver sigut alliberat, la qual cosa permet a un atacant manipular eixe espai de memòria i controlar el comportament del sistema.

El procés d’explotació consistix a:

    • Crear i destruir objectes en el navegador mitjançant contingut web manipulat.
    • Forçar la reutilització de memòria prèviament alliberada.
    • Introduir dades controlades per l’atacant en eixa regió de memòria.
    • Provocar que el navegador processe estes dades com si foren legítimes.

L’impacte potencial inclou:

    • Execució de codi arbitrari en el navegador.
    • Corrupció d’estructures internes de memòria.
    • Possible evasió de mecanismes de seguretat (com l’entorn controlat de proves) si es combina amb altres vulnerabilitats.

L’explotació requerix que l’usuari interactue amb una pàgina web maliciosa, la qual cosa permet a l’atacant sincronitzar l’atac amb més precisió.

Recursos afectats

    • Sistemes que utilitzen Google Chrome en versions anteriors a 147.0.7727.55
    • Equips d’usuari amb accés a navegació web

Recomanacions

    • Actualitzar Google Chrome a la versió 147.0.7727.55 o superior com més prompte millor.
    • Evitar accedir a enllaços o pàgines web d’origen desconegut o no de confiança.
    • Mantindre el navegador i el sistema operatiu actualitzats.
    • Implementar mesures de seguretat addicionals en endpoints (EDR, filtratge web, etc.).
    • Monitorar possibles comportaments anòmals en els equips d’usuari.

Referències