Google lanzó el jueves actualizaciones de seguridad para su navegador web Chrome para abordar dos vulnerabilidades de alta gravedad que, según dijo, han sido explotadas en la naturaleza.
La lista de vulnerabilidades es la siguiente:
- CVE-2026-3909 (Puntuación CVSS: 8,8): una vulnerabilidad de escritura fuera de límites en la biblioteca de gráficos Skia 2D que permite a un atacante remoto realizar acceso a memoria fuera de límites a través de una página HTML diseñada.
- CVE-2026-3910 (Puntuación CVSS: 8,8): una vulnerabilidad de implementación inapropiada en el motor V8 JavaScript y WebAssembly que permite a un atacante remoto ejecutar código arbitrario dentro de un entorno limitado a través de una página HTML diseñada.
Ambas vulnerabilidades fueron descubiertas y reportadas por el propio Google el 10 de marzo de 2026. Como es habitual en estos casos, no hay detalles disponibles sobre cómo se está abusando de los problemas en la naturaleza y quién está detrás de los esfuerzos. Esto se hace para evitar que otros actores de amenazas exploten los problemas.
«Google es consciente de que existen exploits tanto para CVE-2026-3909 como para CVE-2026-3910», señaló la compañía.
El desarrollo se produce menos de un mes después de que Google enviara correcciones para un error de uso después de la liberación de alta gravedad en el componente CSS de Chrome (CVE-2026-2441, puntuación CVSS: 8.8) que también había sido explotado como un día cero. Google ha parcheado un total de tres días cero de Chrome activamente armados desde principios de año.
Para una protección óptima, se recomienda a los usuarios actualizar su navegador Chrome a las versiones 146.0.7680.75/76 para Windows y Apple macOS, y 146.0.7680.75 para Linux. Para asegurarse de que estén instaladas las últimas actualizaciones, los usuarios pueden navegar a Más > Ayuda > Acerca de Google Chrome y seleccionar Reiniciar.
También se recomienda a los usuarios de otros navegadores basados en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, que apliquen las correcciones cuando estén disponibles.
Actualizar
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), agregó el 13 de marzo de 2026 ambas vulnerabilidades de Google Chrome a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), exigiendo que las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen las correcciones antes del 27 de marzo de 2026.