31 vulnerabilidades y recompensa de $90,000: Google lanza una actualización de emergencia para su navegador
Los problemas de memoria no solo afectan a los humanos.
Mientras los usuarios navegan tranquilamente por las páginas, en el navegador pueden esconderse decenas de errores peligrosos. Esta vez el equipo Google Chrome cerró 31 vulnerabilidades de una vez, parte de las cuales recibió estado crítico. Las versiones nuevas ya empezaron a distribuirse para distintas plataformas. Para Windows y macOS salieron Chrome 147.0.7727.101 y 147.0.7727.102, para Linux – 147.0.7727.101. Las actualizaciones llegan de forma gradual, durante varios días o semanas.
Los problemas más peligrosos están relacionados con la corrupción de memoria. Los desarrolladores corrigieron desbordamiento de búfer en la capa gráfica ANGLE (CVE-2026-6296) y un error similar en la biblioteca Skia. Ambas vulnerabilidades permiten salirse de la memoria asignada, lo que en teoría abre la vía a la ejecución de código ajeno.
Otro error crítico fue el uso de memoria liberada en el componente Proxy (CVE-2026-6297). Este tipo de fallos suelen ser la base de ataques porque permiten interferir en el funcionamiento del navegador tras la liberación de recursos. Se encontró un problema similar en el mecanismo de precarga de páginas.
Entre las vulnerabilidades de alto riesgo hay decenas de errores de la misma clase en el tratamiento de vídeo, CSS, sistema de archivos, códecs y gráficos. También se detectaron problemas para eludir restricciones de seguridad, incluida la incorrecta aplicación de políticas de acceso y de los mecanismos de interacción entre dominios.
La compañía pagó recompensas por el hallazgo de parte de los errores. El pago más alto fue de 90 000 dólares.
Las actualizaciones afectaron a otras versiones del navegador. En Android salió Chrome 147.0.7727.101 con las mismas correcciones de seguridad, y para ChromeOS está disponible una nueva versión estable del sistema con el navegador actualizado. Por separado se actualizó el canal de soporte a largo plazo, donde se cerraron varias vulnerabilidades en WebGL y WebRTC.
Por ahora no se revelan los detalles de muchos fallos. Los desarrolladores, como es habitual, limitan el acceso a la información técnica hasta que la actualización haya sido instalada por la mayoría de los usuarios.