Google ha publicado una actualización de Chrome para corregir el zero-day CVE-2026-5281, un fallo use-after-free en Dawn/WebGPU que está siendo explotado activamente. La recomendación es actualizar cuanto antes a Chrome 146.0.7680.177/178 (según el sistema) y, en entornos gestionados, priorizar el despliegue por su inclusión en el catálogo KEV de CISA.
Google ha lanzado una actualización de seguridad para Google Chrome con el objetivo de corregir un zero-day identificado como CVE-2026-5281, que ya está siendo explotado ‘en la naturaleza’. El fallo afecta al componente Dawn, la implementación de WebGPU integrada en el navegador, y se clasifica como un use-after-free, un tipo de vulnerabilidad de gestión de memoria que puede permitir comportamientos no previstos cuando el software usa un objeto que ya ha sido liberado.
Según la información disponible, el problema podría permitir ejecución de código en determinadas condiciones tras comprometer el proceso renderer mediante contenido web malicioso, por ejemplo una página HTML manipulada. En términos prácticos, este tipo de vulnerabilidades suele encajar con escenarios en los que un usuario solo necesita visitar un sitio o abrir un contenido preparado para desencadenar el fallo, aunque los detalles concretos de cómo se está explotando no se han hecho públicos. Google no ha compartido por el momento información sobre los actores implicados, el vector exacto o el alcance de los ataques, algo habitual cuando la explotación está activa y se busca reducir el riesgo de replicación.
La actualización forma parte de un paquete de correcciones más amplio (se mencionan 21 vulnerabilidades en total), pero CVE-2026-5281 destaca por su uso real en ataques. El consejo para usuarios es actualizar Chrome a las versiones 146.0.7680.177/178 (dependiendo del sistema operativo). En entornos corporativos, conviene además verificar que el reinicio del navegador se complete, ya que muchas correcciones no quedan plenamente aplicadas hasta que se relanza el proceso.
En paralelo, CISA ha añadido CVE-2026-5281 a su catálogo Known Exploited Vulnerabilities (KEV), una señal clara de prioridad para equipos de seguridad y operaciones. Para agencias FCEB, se ha fijado una fecha límite de mitigación el 15 de abril de 2026, lo que suele arrastrar también a proveedores y organizaciones que alinean sus calendarios de parcheo con ese estándar.
Dado que el ecosistema Chromium comparte una base tecnológica, es razonable esperar que otros navegadores como Microsoft Edge, Brave, Opera o Vivaldi necesiten incorporar correcciones equivalentes en cuanto sus fabricantes publiquen las actualizaciones correspondientes. Mientras tanto, la medida más eficaz para reducir riesgo es mantener Chrome al día y acelerar el despliegue del parche en dispositivos expuestos a navegación web frecuente o con perfiles de alto riesgo.
Deja una respuesta