Alerta: Google corrige un zero-day en Chrome explotado en ataques reales
Google ha desplegado un parche de emergencia para la Vulnerabilidad zero-day en Chrome CVE-2026-2441, tras confirmar que existían exploits “in the wild”. El fallo, de severidad alta (CVSS 8.8), afecta al manejo de CSS en el navegador y eleva el riesgo de ejecución de código dentro del sandbox a través de páginas HTML especialmente diseñadas, una combinación especialmente sensible por el alcance masivo de Chrome en escritorio.
Qué implica la Vulnerabilidad zero-day en Chrome CVE-2026-2441
Según la información publicada por Google, la Vulnerabilidad zero-day en Chrome CVE-2026-2441 se origina en un bug de tipo use-after-free en el procesamiento de CSS. En términos prácticos, un atacante remoto podría inducir un comportamiento de memoria inseguro mediante una página web maliciosa y lograr la ejecución de código arbitrario dentro del sandbox del navegador. Google no ha detallado por ahora la cadena completa de explotación ni el alcance de los ataques (si fueron dirigidos o parte de una campaña más amplia), limitándose a confirmar la explotación activa.
Versiones de Chrome con el fix
El parche llega al canal estable con estas versiones: Chrome 145.0.7632.75 para Windows y macOS, y Chrome 144.0.7559.75 para Linux. La compañía indica que el despliegue se realizará progresivamente “en los próximos días/semanas”, un patrón habitual para minimizar riesgos operativos y, al mismo tiempo, reducir la ventana de oportunidad para atacantes.
Divulgación y cronología
El investigador de seguridad Shaheen Fazim reportó la vulnerabilidad el 11 de febrero. Google confirmó que ya existía explotación activa poco después, manteniendo en reserva los detalles técnicos mientras se completa la adopción del parche por parte de la base de usuarios, una medida estándar para frenar la rápida “weaponization” por terceros.
Por qué este zero-day vuelve a poner el foco en el navegador
La corrección de la Vulnerabilidad zero-day en Chrome CVE-2026-2441 refuerza una tendencia que la industria lleva arrastrando: Chrome (y por extensión Chromium) continúa siendo un objetivo prioritario para actores ofensivos por su superficie de ataque, complejidad del motor y valor del navegador como punto de entrada. El movimiento llega, además, en un contexto de creciente presión sobre el ecosistema del browser, donde los riesgos no se limitan a vulnerabilidades del core, sino también a extensiones y componentes de terceros.
Fuentes oficiales
- Chrome Releases: Stable Channel Update for Desktop (Google)
- NVD (NIST): Base de datos oficial de vulnerabilidades
A falta de más detalles públicos sobre la explotación, el punto clave para empresas y usuarios es claro: la Vulnerabilidad zero-day en Chrome CVE-2026-2441 ya fue utilizada antes de que existiera un parche, y la mitigación efectiva pasa por asegurar que el canal estable de Chrome quede actualizado a las versiones corregidas tan pronto como el despliegue llegue a cada dispositivo.
