Identificouse unha vulnerabilidade zero-day crítica en Google Chrome que está sendo explotada activamente en ataques reais.
A vulnerabilidade, rexistrada como CVE-2026-5281, podería permitir a un atacante executar código arbitrario no sistema afectado tras dirixir á vítima a unha páxina HTML especialmente manipulada.
A vulnerabilidade corresponde a un fallo de tipo Use-After-Free (UAF) localizado en Google Dawn, a implementación open source de WebGPU utilizada por Chromium para o procesamento gráfico web.
As vulnerabilidades UAF prodúcense cando un programa continúa utilizando referencias de memoria xa liberadas ou reutilizadas, permitindo corrupción de memoria e execución non autorizada.
Neste caso:
- o atacante debe comprometer inicialmente o proceso renderer do navegador
- posteriormente dirixe á vítima a unha páxina HTML maliciosa
- a carga activa o fallo UAF
- finalmente conséguese execución arbitraria de código
Impacto
A explotación podería permitir:
- execución remota de código
- compromiso completo do navegador
- roubo de información
- instalación silenciosa de malware
- movemento lateral en redes corporativas
O risco é especialmente elevado en contornos empresariais onde un navegador comprometido pode converterse nun punto de entrada para ataques posteriores.
Produtos afectados
A vulnerabilidade afecta ao motor Chromium e non unicamente a Google Chrome.
Produtos potencialmente afectados:
- Google Chrome
- Microsoft Edge
- Opera
- Brave
- Vivaldi
- outros navegadores baseados en Chromium
Risco operativo
Actualmente:
- existe explotación activa confirmada
- a vulnerabilidade xa está catalogada como explotada en contornos reais
- non se descarta o seu uso en campañas de ransomware
Mapeo MITRE ATT&CK
Posibles técnicas asociadas:
- T1189 – Drive-by Compromise
- T1203 – Exploitation for Client Execution
- T1055 – Process Injection
- T1068 – Exploitation for Privilege Escalation
- T1105 – Ingress Tool Transfer
Mitigacións e recomendacións
- Actualizar inmediatamente Chrome e navegadores Chromium
- Priorizar o despregamento de parches en contornos corporativos
- Monitorizar actividade anómala dos navegadores
- Restringir navegación desde endpoints críticos
- Revisar telemetría EDR asociada a:
- chrome.exe
- msedge.exe
- procesos renderer
- WebGPU
- Deshabilitar temporalmente WebGPU se é operacionalmente viable
- Illar sistemas sospeitosos de compromiso
Gobernanza e xestión do risco
Este incidente evidencia riscos asociados a:
- explotación de software cliente amplamente distribuído
- dependencia de motores compartidos como Chromium
- incremento da superficie de ataque asociada a WebGPU
- dificultade de contención en ataques “drive-by”
Áreas impactadas:
- seguridade de endpoint
- navegación corporativa
- xestión de vulnerabilidades
- protección fronte a malware
Lectura estratéxica
As vulnerabilidades en navegadores continúan sendo un dos vectores de compromiso máis efectivos debido a:
- exposición permanente a contido non confiable
- elevada superficie de ataque web moderna
- integración crecente de tecnoloxías complexas como WebGPU
A explotación activa de vulnerabilidades zero-day en navegadores reforza a necesidade de manter ciclos de parcheo extremadamente rápidos e unha monitorización continua dos endpoints.
