Google ha publicado una actualización de emergencia para Chrome que corrige el CVE-2026-2441, un zero-day de alta severidad con explotación confirmada ‘in-the-wild’. La recomendación es actualizar cuanto antes a la última versión estable disponible en Windows, macOS y Linux, ya que Google ha limitado los detalles técnicos para reducir el riesgo mientras se despliega el parche.
Google ha distribuido actualizaciones de seguridad para Google Chrome con el objetivo de cerrar el CVE-2026-2441, un zero-day calificado como de alta severidad y que, según la propia compañía, ya estaba siendo explotado activamente. Que un fallo llegue a utilizarse en ataques reales antes de existir un parche lo convierte en una prioridad inmediata para usuarios y equipos de TI, especialmente en entornos donde el navegador es una pieza central del trabajo diario.
El problema corregido se describe como un fallo de memory-safety del tipo use-after-free, causado por un bug de invalidación de iteradores en CSSFontFeatureValuesMap. En términos prácticos, este componente está relacionado con cómo Chrome gestiona ciertos valores de características tipográficas dentro de CSS, es decir, parte del motor de renderizado que interpreta y muestra contenido web. Este tipo de errores, al implicar manejo incorrecto de memoria, suele derivar en comportamientos impredecibles: desde crashes del navegador y fallos de renderizado hasta corrupción de datos u otras consecuencias de comportamiento indefinido. El artículo no entra a detallar si se ha observado RCE o un sandbox escape, y Google tampoco ha publicado información adicional sobre la cadena de explotación.
Un detalle relevante es que el arreglo se ha ‘backported/cherry-picked’ al canal Stable, lo que normalmente indica urgencia: se toma un cambio puntual y se integra rápidamente en la rama estable para minimizar el tiempo de exposición. Además, el propio historial del cambio sugiere que el parche resuelve ‘el problema inmediato’, quedando trabajo adicional referenciado en un bug de seguimiento (identificado como 483936078), lo que refuerza la idea de que la compañía está conteniendo el riesgo mientras completa ajustes más amplios.
Como es habitual en estos casos, Google ha restringido los detalles del fallo y del exploit hasta que una mayoría suficiente de usuarios esté actualizada, una práctica orientada a dificultar que otros atacantes repliquen el ataque durante la ventana de despliegue. Para macOS, se menciona el despliegue de Chrome 145.0.7632.75/76, y para Linux Chrome 144.0.7559.75. En Windows también hay actualización en curso, aunque el artículo no especifica el número exacto, por lo que la recomendación práctica es comprobar que el navegador está en la última Stable disponible.
A nivel operativo, conviene recordar que Chrome suele descargar la actualización en segundo plano, pero necesita un reinicio del navegador para aplicarla; en organizaciones, es recomendable forzar o gestionar el parche mediante MDM o herramientas de gestión de endpoints y priorizar equipos de mayor exposición (por ejemplo, perfiles con riesgo elevado de ataques dirigidos). Mientras no existan IoCs públicos en la información compartida, una señal útil puede ser vigilar picos anómalos de cierres inesperados o comportamientos extraños del navegador, siempre como complemento al control principal: actualizar cuanto antes.
Más información
- BleepingComputer: https://www.bleepingcomputer.com/news/security/google-patches-first-chrome-zero-day-exploited-in-attacks-this-year/
