Google pagó miles de dólares a hackers para que puedas dormir tranquilo: novedades de Chrome 144

El navegador Google Chrome se actualizó a la versión 144 en el canal estable, y este es uno de esos casos en los que vale la pena instalar la actualización no solo por las funciones nuevas, sino también por la seguridad. El equipo de Google comenzó a desplegar la versión para Windows, macOS y Linux, por lo que en los próximos días aparecerá de forma gradual para la mayoría de los usuarios.

Al canal estable llegaron las compilaciones Chrome 144.0.7559.59 para Linux y 144.0.7559.59/60 para Windows y Mac. Como es habitual, la actualización incluye un conjunto de correcciones y mejoras, y la lista completa de cambios está disponible en el registro. Google además señaló que más adelante publicará entradas detalladas en los blogs de Chrome y Chromium sobre las nuevas funciones y los cambios importantes que llegaron a la versión 144.

La parte más importante del lanzamiento está relacionada con la seguridad. En Chrome 144 se corrigieron 10 vulnerabilidades, y en la nota Google subrayó un detalle habitual en este tipo de lanzamientos. Los detalles sobre algunos fallos y los enlaces pueden ocultarse temporalmente hasta que la mayoría de los usuarios reciban la actualización, para dificultar la vida de quienes podrían intentar explotar las vulnerabilidades antes del parche masivo. Las restricciones también pueden mantenerse si el problema está en una biblioteca de terceros de la que dependen otros proyectos y aún no existe una corrección.

Entre las correcciones más serias destacan problemas en V8 y Blink. En particular, se cerró la vulnerabilidad CVE-2026-0899, relacionada con un desbordamiento de memoria en el motor JavaScript V8. El tamaño de la recompensa por encontrar la vulnerabilidad fue de $8000. Otras dos vulnerabilidades recibieron los identificadores CVE-2026-0900 и CVE-2026-0901. La primera también se refiere a V8 y fue detectada por Google; la segunda afecta a Blink y, según los datos del informe, se encontró ya en octubre de 2021. Los detalles y el importe de las recompensas por estos dos casos todavía no se han revelado.

Las vulnerabilidades de gravedad media también se refieren principalmente al procesamiento de código y datos. CVE-2026-0902 se describe como una implementación incorrecta en V8 y le valió al investigador $4000. CVE-2026-0903 está relacionada con la insuficiente validación de entrada no confiable en el mecanismo de descargas; la encontró el investigador Azur y recibió $3000. Otro error de gravedad media, CVE-2026-0904, se refiere a la visualización incorrecta de elementos de la interfaz de seguridad en la función Digital Credentials; por él se pagaron $1000. También se señaló el problema CVE-2026-0905 en un componente de red, que trata sobre la aplicación insuficiente de políticas; también lo detectó Google, pero la recompensa aún no se ha anunciado.

También hay varias vulnerabilidades de baja gravedad que, sin embargo, son desagradables porque están relacionadas con la interfaz de seguridad y potencialmente pueden inducir a error al usuario. Se trata de CVE-2026-0906 и CVE-2026-0907, así como de CVE-2026-0908 en ANGLE, que se refiere a un use-after-free. Respecto a estos hallazgos, los pagos son conocidos, por ejemplo $2000 y $500, mientras que para otros la suma aún no se ha anunciado.

Google agradeció por separado a los investigadores que ayudaron a encontrar y corregir problemas durante el ciclo de desarrollo para que no llegaran al lanzamiento estable. La compañía también recordó que una parte importante de los bugs se detecta con herramientas automatizadas como AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity y fuzzers, incluidos libFuzzer y AFL.

Si tiene activadas las actualizaciones automáticas, Chrome descargará e instalará la nueva versión cuando le toque a su dispositivo. Si instala las actualizaciones manualmente, tiene sentido comprobarlas pronto, especialmente teniendo en cuenta que parte de las correcciones afectan a componentes críticos del navegador.