Google lanzó el jueves actualizaciones de seguridad para su navegador web Chrome para topar dos vulnerabilidades de suscripción empeoramiento que, según dijo, han sido explotadas en la naturaleza.
La serie de vulnerabilidades es la venidero:
- CVE-2026-3909 (Puntuación CVSS: 8,8): una vulnerabilidad de escritura fuera de límites en la biblioteca de gráficos Skia 2D que permite a un atacante remoto realizar paso a memoria fuera de límites a través de una página HTML diseñada.
- CVE-2026-3910 (Puntuación CVSS: 8,8): una vulnerabilidad de implementación inapropiada en el motor V8 JavaScript y WebAssembly que permite a un atacante remoto ejecutar código subjetivo interiormente de un entorno establecido a través de una página HTML diseñada.
Ambas vulnerabilidades fueron descubiertas y reportadas por el propio Google el 10 de marzo de 2026. Como es habitual en estos casos, no hay detalles disponibles sobre cómo se está abusando de los problemas en la naturaleza y quién está detrás de los esfuerzos. Esto se hace para evitar que otros actores de amenazas exploten los problemas.
“Google es consciente de que existen exploits tanto para CVE-2026-3909 como para CVE-2026-3910”, señaló la compañía.
El incremento se produce menos de un mes a posteriori de que Google enviara correcciones para un error de uso a posteriori de la manumisión de suscripción empeoramiento en el componente CSS de Chrome (CVE-2026-2441, puntuación CVSS: 8.8) que asimismo había sido explotado como un día cero. Google ha parcheado un total de tres días cero de Chrome activamente armados desde principios de año.
Para una protección óptima, se recomienda a los usuarios renovar su navegador Chrome a las versiones 146.0.7680.75/76 para Windows y Apple macOS, y 146.0.7680.75 para Linux. Para cerciorarse de que estén instaladas las últimas actualizaciones, los usuarios pueden navegar a Más > Ayuda > Acerca de Google Chrome y separar Reiniciar.
Igualmente se recomienda a los usuarios de otros navegadores basados en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, que apliquen las correcciones cuando estén disponibles.
Renovar
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), agregó el 13 de marzo de 2026 ambas vulnerabilidades de Google Chrome a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), exigiendo que las agencias del Poder Ejecutor Civil Federal (FCEB) apliquen las correcciones antiguamente del 27 de marzo de 2026.
