Google publicó el 8 de junio de 2026 una actualización de Chrome que tapa CVE-2026-11645, un fallo en el motor V8 que ya estaba siendo explotado cuando salió el parche. Es el quinto zero-day de Chrome corregido en lo que va de año, así que toca actualizar sin esperar.
Qué es la vulnerabilidad
El problema vive en V8, el motor de JavaScript y WebAssembly de Chrome. Se trata de una lectura y escritura fuera de límites (out-of-bounds), clasificada como CWE-125 y CWE-787. Una página web preparada para ello puede leer y escribir en zonas de memoria que no le corresponden y, a partir de ahí, ejecutar código arbitrario dentro del sandbox del navegador.
Que el código se ejecute dentro del sandbox limita el daño inmediato, pero no lo vuelve inofensivo. Un fallo así suele encadenarse con un segundo bug de escape de sandbox para llegar al sistema operativo. Por sí solo ya permite manipular lo que ocurre en la pestaña afectada y servir de primer escalón en una cadena de ataque.
A quién afecta y gravedad
Cualquier versión de Chrome anterior a la 149.0.7827.103 es vulnerable. Como Chromium es la base de Edge, Brave, Opera, Vivaldi y otros navegadores, esos productos también necesitan la actualización equivalente de sus fabricantes en cuanto la integren.
La puntuación es CVSS 3.1 de 8.8 (alta), con vector AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H: explotable por red, baja complejidad, sin privilegios previos y solo con que la víctima abra una página. Google confirmó que hay un exploit en uso real, y CISA lo añadió a su catálogo de Known Exploited Vulnerabilities el 9 de junio de 2026 con fecha límite de parcheo el 23 de junio para las agencias federales de EE. UU. Cuando un zero-day de navegador ya se está usando, la ventana entre la publicación del parche y los ataques masivos se cierra rápido.
Mitigación y parche
La única solución real es actualizar a Chrome 149.0.7827.103 o posterior. En la mayoría de instalaciones el navegador se actualiza solo, pero conviene forzarlo: ve a Menú > Ayuda > Información de Google Chrome, deja que descargue la nueva versión y reinicia el navegador. Sin ese reinicio el parche no se aplica del todo, y es justo el paso que más gente se salta.
Si gestionas equipos de una organización, comprueba que la versión desplegada en tu flota supera la 149.0.7827.103 y revisa los navegadores derivados de Chromium por separado, porque su calendario de actualizaciones depende de cada fabricante. No hay mitigación de configuración que sustituya al parche: ni desactivar JavaScript de forma selectiva ni cambiar ajustes de seguridad cubren el agujero.