Google va publicar el 22 de maig de 2026 una actualització estable de Chrome (branca 148) que tapa un forat seriós a WebRTC. L’identificador és CVE-2026-9111 i es tracta d’un use-after-free, una d’aquelles situacions en què el navegador continua fent servir memòria que ja havia alliberat. Quan això passa en un component com WebRTC, que gestiona àudio i vídeo en temps real directament des del navegador, les conseqüències poden arribar fins a l’execució de codi arbitrari.
La part incòmoda és el poc que cal per activar-lo. No has d’instal·lar res ni acceptar cap permís estrany. Amb carregar una pàgina HTML preparada per un atacant ja n’hi ha prou per disparar l’error. Un web qualsevol amb codi incrustat, un anunci servit per una xarxa compromesa o un fitxer HTML que obris des del disc entren tots dins del vector d’atac.
A qui afecta
L’avís de Google situa el problema a Linux i marca la gravetat com a crítica. Les versions de Chrome anteriors a la 148.0.7778.178 queden exposades. Si tens Chrome o qualsevol navegador basat en Chromium en una màquina Linux, et toca de ple: el motor que comparteixen tots ells arrossega el mateix WebRTC vulnerable.
En la mateixa tanda Google va corregir un segon error, CVE-2026-9110, una suplantació d’interfície a Windows. Aquest segon problema és de menys abast perquè requereix que el procés de renderitzat ja estigui compromès abans, mentre que el de WebRTC s’explota directament només visitant un lloc.
Gravetat real
Que un error sigui d’execució remota de codi i es dispari sense interacció més enllà d’obrir un web el col·loca a dalt de la llista de prioritats. No hi ha constància pública que s’estigui explotant de forma activa en el moment de l’avís, però els use-after-free als navegadors són terreny conegut per a qui escriu exploits, i la finestra entre que es publica el pedaç i s’entén l’error sol ser curta.
Convé recordar que WebRTC està actiu per defecte a Chrome. No és una funció exòtica que només es carregui quan fas videotrucades: forma part del navegador des de l’arrencada, així que no serveix de gaire pensar “jo no faig servir això”.
Pedaç i mitigació
La solució és directa: actualitzar a Chrome 148.0.7778.178 o posterior. A Linux aquesta versió és la que recull la correcció. Si fas servir un navegador derivat de Chromium, espera que el seu mantenidor publiqui la versió corresponent amb el WebRTC ja apedaçat i actualitza’l tan bon punt estigui disponible.
Per comprovar la versió, obre Configuració i entra a “Informació de Chrome”. El navegador buscarà l’actualització i la descarregarà; després cal reiniciar-lo perquè el canvi tingui efecte. Aquest reinici és el pas que molta gent es salta, i mentre no es faci el procés continua corrent amb el binari antic i vulnerable. El desplegament de Google és gradual, així que si encara no et surt la versió nova, torna-ho a comprovar d’aquí a unes hores.
Si gestiones equips Linux amb Chrome instal·lat per paquets del sistema, revisa que el repositori de Google estigui al dia i força l’actualització del paquet en lloc d’esperar el cicle automàtic.
Font
- Malwarebytes — Update Chrome now: Critical bugs could let attackers run code: https://www.malwarebytes.com/blog/bugs/2026/05/update-chrome-now-critical-bugs-could-let-attackers-run-code
- NVD — CVE-2026-9111: https://nvd.nist.gov/vuln/detail/CVE-2026-9111