Editor Top
Los actores de amenazas ahora tienen la capacidad de explotar una nueva vulnerabilidad de día cero en el navegador Chrome, informó Google a los administradores de TI.
La advertencia viene después Google lanzó un parche para Chrome para conectar un uso después de la vulnerabilidad de memoria libre (CVE-2026-2441) en hojas de estilos en cascada (CSS), lo que significa que el motor CSS del navegador no administra correctamente la memoria y puede ser explotado por un pirata informático.
Si no se parchea, permite a un atacante remoto ejecutar código arbitrario dentro de un entorno limitado a través de una página HTML diseñada. La vulnerabilidad tiene una gravedad alta.
Están en riesgo los navegadores Chrome de Windows y Mac anteriores a 145.0.7632.75/76 y anteriores a 144.0.7559.75 para Linux.
«Google es consciente de que existe un exploit para CVE-2026-2441», añade la advertencia.
Los detalles sobre el agujero son escasos. Google dice que el acceso a los detalles y enlaces del error puede estar restringido hasta que la mayoría de los usuarios se actualicen con una solución. También mantendrá las restricciones si el error existe en una biblioteca de terceros de la que otros proyectos dependen de manera similar, pero que aún no se ha solucionado.
Gene Moodycampo CTO en Action1, explicó que, en esta vulnerabilidad, un navegador libera un objeto, pero luego continúa usando la ubicación de memoria de referencia obsoleta. Cualquier atacante que pueda dar forma al diseño del montón con contenido controlado puede potencialmente reemplazar el contenido de esa memoria liberada con datos que controle. Debido a que esto se encuentra en el renderizador y se puede acceder a él a través del contenido normal de la página, dijo, la superficie de activación es casi absoluta.
«En términos prácticos», añadió, «un usuario vulnerable simplemente visitando una página maliciosa podría ser suficiente para desencadenar efectivamente el error».
La búsqueda y explotación de vulnerabilidades del navegador es una herramienta popular para los actores de amenazas. Esto se debe a que los navegadores suelen ser un punto de entrada a las empresas, particularmente en una era de aplicaciones en la nube. Los navegadores no sólo acceden a datos corporativos, sino que también contienen información confidencial, como credenciales de inicio de sesión y datos personales almacenados para autocompletar formularios.
Por lo general, los navegadores vienen con la instalación automática de parches habilitada de forma predeterminada. Sin embargo, algunos CSO/CIO pueden preferir la instalación manual, por lo que se puede probar la compatibilidad de los parches con las aplicaciones empresariales antes de la instalación.
Johannes Ullrichdecano de investigación del Instituto SANS, dijo que este es solo el día 0 de Chrome más reciente descubierto y, según la historia, probablemente hay muchos otros ya en uso que aún no han sido descubiertos ni parcheados.
«Tener un programa sólido de monitoreo de terminales puede mitigar parte de este riesgo», dijo. Para los administradores empresariales, Google ofrece Chrome Enterprise Core, que agrega la instrumentación necesaria para monitorear las versiones del navegador y lanzar actualizaciones. Chrome Enterprise Core también agrega administración central de extensiones. Las extensiones maliciosas suelen ser un problema mayor que los días 0”.
Los navegadores son programas muy complejos que soportan una gran cantidad de tecnologías, añadió, e incluyen algunos estándares heredados con soporte actual limitado.
«El código base del navegador Chromium de código abierto incluye alrededor de 36 millones de líneas de código», señaló. «Un proyecto grande como este seguramente incluirá vulnerabilidades. Google ha utilizado una serie de herramientas automatizadas para reducir continuamente la cantidad de vulnerabilidades, pero los adversarios hacen lo mismo y, a veces, encuentran errores que Google aún no ha encontrado o que aún no ha logrado parchear de manera proactiva».
Los días cero del navegador nunca son buenos, porque es trivial para los delincuentes utilizar anuncios envenenados para tratar de dirigir a las víctimas con navegadores vulnerables a sitios web que contienen códigos maliciosos, dijo David Shipleyjefe del proveedor canadiense de capacitación en concientización sobre seguridad Beauceron Security.
«En este caso, parece que esto es sólo una solución parcial para la vulnerabilidad en progreso, y Google está siendo un poco reservado acerca de cuán grave fue este error y todas las cosas para las que podría usarse más allá de bloquear el navegador y corromper los datos. Pero dado que hay exploits en la naturaleza, y Google dice que está esperando hasta que la mayoría de los usuarios estén parcheados antes de entrar en más detalles, claramente hay algo más interesante detrás de esto».
Obtener correcciones para los navegadores empresariales todavía no es tan fácil como debería ser, agregó, y generalmente implica herramientas costosas o flujos de trabajo complejos que la mayoría de las organizaciones más pequeñas no tienen.
Google, sin embargo, ofrece amplios consejos para los administradores sobre la gestión de actualizaciones de Chrome.
Este artículo apareció originalmente en CSO en línea.
