Google lanzó una actualización de seguridad Chrome 149 para Windows, macOS y Linux, que corrige 18 vulnerabilidades del navegador que incluyen cuatro fallas calificadas como críticas.
lo últimoActualización del canal estable de Chrometraslada a los usuarios de escritorio a la versión 149.0.7827.196/197 en Windows y Mac, y a la 149.0.7827.196 en Linux. Google dijo que la actualización se implementará en los próximos días y semanas.
Los errores más graves afectan a WebGL, Blink InterestGroups y Autocompletar. Varios de ellos implican problemas de seguridad de la memoria que pueden permitir a los atacantes atacar Chrome a través de contenido web elaborado.
La actualización Chrome 149 corrige cuatro vulnerabilidades críticas
Google enumeró cuatro vulnerabilidades clasificadas como críticas en esta versión. Dos son fallas de uso después de la liberación en WebGL, una es una lectura fuera de los límites en Blink InterestGroups y la otra es una falla de uso después de la liberación en Autocompletar.
Las vulnerabilidades de uso después de la liberación ocurren cuando el software continúa usando la memoria después de haberla liberado. En ocasiones, los atacantes pueden abusar de esa condición para bloquear un programa, dañar la memoria o influir en la ejecución del código.
Google dijo que el acceso a algunos detalles del error puede permanecer restringido hasta que la mayoría de los usuarios reciban la solución. ElSeguridad de cromoEl proyecto explica que los errores de seguridad corregidos normalmente se rastrean a través de notas de seguridad de Stable Channel, mientras que los detalles confidenciales de los errores pueden permanecer limitados antes de su divulgación pública.
| CVE | Gravedad | Tipo de vulnerabilidad | Componente afectado | Reportado por |
|---|---|---|---|---|
| CVE-2026-13028 | Crítico | Usar después gratis | WebGL | Investigador anónimo |
| CVE-2026-13032 | Crítico | Usar después gratis | WebGL | |
| CVE-2026-13033 | Crítico | Lectura fuera de límites | Parpadear grupos de interés | |
| CVE-2026-13038 | Crítico | Usar después gratis | Autocompletar |
Por qué son importantes las fallas de WebGL y Autocompletar
WebGL es una tecnología de navegador utilizada para la representación de gráficos en la web. Debido a que interactúa estrechamente con las rutas de procesamiento de gráficos, los errores en esta área pueden crear graves riesgos de seguridad para el navegador.
Autocompletar también tiene una función importante porque maneja la información que los usuarios ingresan en los formularios. Un error de memoria en esa área puede volverse más peligroso cuando los atacantes lo combinan con páginas manipuladas u otras debilidades del navegador.
ElBoletín de seguridad de HKCERTdijo que los atacantes remotos podrían explotar algunas de las vulnerabilidades de Chrome para provocar denegación de servicio, ejecución remota de código y elusión de restricciones de seguridad en los sistemas específicos.
También se corrigieron catorce errores de Chrome de alta gravedad
La misma actualización de Chrome 149 corrige catorce errores de alta gravedad en DeviceBoundSessionCredentials, Autocompletar, GPU, Navegación, DevTools, Credenciales digitales, Sistema de archivos, Autenticación web, Blink, Contraseñas, Bluetooth y WebView.
Muchos de estos errores son uso después de la liberación, uso no inicializado, validación de entrada insuficiente o problemas de implementación inapropiados. Esas categorías a menudo apuntan a errores de manejo de la memoria o errores lógicos en componentes complejos del navegador.
ElNotas de la versión de Chromemuestran que Google informó internamente la mayoría de las fallas de alta gravedad durante mayo y junio de 2026.
| CVE | Gravedad | Asunto | Componente |
|---|---|---|---|
| CVE-2026-13021 | Alto | Implementación inapropiada | Credenciales de sesión vinculadas al dispositivo |
| CVE-2026-13022 | Alto | Implementación inapropiada | Autocompletar |
| CVE-2026-13023 | Alto | Uso no inicializado | GPU |
| CVE-2026-13024 | Alto | Validación de entrada insuficiente | Navegación |
| CVE-2026-13025 | Alto | Validación de entrada insuficiente | Herramientas de desarrollo |
| CVE-2026-13026 | Alto | Usar después gratis | Credenciales digitales |
| CVE-2026-13027 | Alto | Usar después gratis | Sistema de archivos |
| CVE-2026-13029 | Alto | Usar después gratis | Autenticación web |
| CVE-2026-13030 | Alto | Uso no inicializado | GPU |
| CVE-2026-13031 | Alto | Usar después gratis | Parpadear |
| CVE-2026-13034 | Alto | Implementación inapropiada | Contraseñas |
| CVE-2026-13035 | Alto | Usar después gratis | bluetooth |
| CVE-2026-13036 | Alto | Usar después gratis | Parpadear |
| CVE-2026-13037 | Alto | Usar después gratis | Vista web |
Google mantiene restringidos algunos detalles técnicos
Google suele limitar el acceso público a los detalles de la vulnerabilidad hasta que la mayoría de los usuarios hayan actualizado. Esto reduce la posibilidad de que los atacantes puedan crear rápidamente un código de explotación confiable a partir del propio aviso.
La compañía también le da crédito a herramientas internas como AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer y AFL por ayudar a detectar muchos errores de seguridad antes del lanzamiento.
ElEquipo de seguridad de cromodice que su trabajo incluye encontrar y corregir errores de seguridad, mejorar la arquitectura segura, ayudar a los desarrolladores a crear aplicaciones más seguras y revisar los riesgos de seguridad en todo el proyecto Chromium.
Cómo actualizar Chrome en el escritorio
La mayoría de las instalaciones de Chrome para consumidores se actualizan automáticamente. Los usuarios aún pueden forzar una verificación manual abriendo Chrome, yendo a Configuración, eligiendo Ayuda y luego seleccionando Acerca de Google Chrome.
Los administradores empresariales deben verificar que las políticas de actualización permitan que Chrome reciba parches de seguridad urgentes. de googleGuía de actualización de Chrome Enterpriserecomienda actualizaciones automáticas para que los usuarios reciban correcciones de seguridad críticas a medida que estén disponibles.
Los administradores que administran dispositivos Windows a través de la Política de grupo también deben verificar si las actualizaciones de Chrome se han deshabilitado o retrasado. de googleGuía de gestión de actualizaciones de Windows.recomienda mantener activadas las actualizaciones automáticas para el navegador Chrome y las aplicaciones administradas por Google Update.
- Los usuarios de Windows y Mac deben actualizar a Chrome 149.0.7827.196/197 o posterior.
- Los usuarios de Linux deben actualizar a Chrome 149.0.7827.196 o posterior.
- Los entornos administrados deben confirmar que las políticas de actualización de Chrome permitan actualizaciones de seguridad.
- Los usuarios deben reiniciar Chrome una vez completada la actualización.
- Los administradores deben priorizar los dispositivos utilizados para correo electrónico, banca, paneles de control en la nube y flujos de trabajo privilegiados.
Por qué las empresas no deberían retrasar este parche
Las vulnerabilidades del navegador pueden pasar rápidamente de notas de parche a intentos de explotación una vez que haya suficiente información técnica disponible. Chrome también es un objetivo de alto valor porque se encuentra entre los usuarios y las cuentas web confidenciales.
ElAviso HKCERTenumera las versiones afectadas como Chrome anteriores a 149.0.7827.196 en Linux y anteriores a 149.0.7827.196/197 en Windows y Mac.
de googleDocumentación de Chrome Enterprise CoreTambién señala que entre las versiones completas del navegador llegan actualizaciones menores, incluidas correcciones de seguridad y actualizaciones de software. Eso hace que el monitoreo de actualizaciones sea importante incluso cuando las versiones principales parecen estar actualizadas.
Qué deberían hacer los usuarios de Chrome ahora
Los usuarios individuales deben instalar la actualización y reiniciar el navegador. El navegador puede mostrar que se ha descargado una actualización, pero la solución no se aplica por completo hasta que se reinicia Chrome.
Los usuarios empresariales deben solicitar a los equipos de TI que confirmen el estado de implementación en todos los puntos finales administrados. Un dispositivo que permanece una o dos versiones atrás aún puede tener vulnerabilidades conocidas del navegador.
Las organizaciones que utilizan la Política de grupo pueden revisar laConfiguración de la política de actualización de Chromepara confirmar que las actualizaciones permanecen habilitadas, que la fijación de versiones no bloquea la solución y que los retrasos en las actualizaciones no dejan a los usuarios expuestos por más tiempo del necesario.
Preguntas frecuentes
¿Qué versión corrige los últimos fallos de seguridad de Chrome 149?
Google solucionó las últimas vulnerabilidades de escritorio de Chrome 149 en la versión 149.0.7827.196/197 para Windows y Mac, y en la versión 149.0.7827.196 para Linux.
¿Cuántas vulnerabilidades solucionó Google en esta actualización de Chrome?
Google enumeró 18 correcciones de seguridad en la actualización de escritorio Chrome 149. Cuatro fueron calificados como críticos, mientras que catorce fueron calificados como de gravedad alta.
¿Qué componentes de Chrome tenían vulnerabilidades críticas?
Las vulnerabilidades críticas afectaron a WebGL, Blink InterestGroups y Autofill. Las fallas de WebGL y Autocompletar fueron errores de uso después de la liberación, mientras que la falla de Blink InterestGroups fue un problema de lectura fuera de los límites.
¿Existe evidencia de que se estén aprovechando estas fallas de Chrome?
El aviso de Google del 23 de junio de 2026 no dice que estas vulnerabilidades específicas estén siendo explotadas activamente en la naturaleza. Los usuarios aún deben actualizar rápidamente porque los detalles técnicos pueden hacerse públicos más adelante.
¿Cómo actualizo manualmente Google Chrome?
Abra Chrome, vaya a Configuración, seleccione Ayuda y luego elija Acerca de Google Chrome. Chrome buscará actualizaciones automáticamente. Reinicie el navegador después de que se instale la actualización.