Seguir 
Google ha lanzado actualizaciones de emergencia para Chrome para abordar una vulnerabilidad de día cero en Chrome, un problema de lectura/escritura fuera de los límites en el motor V8 de JavaScript. Google dice que existe un exploit en estado salvaje, y las versiones Estables corregidas se están desplegando como 149.0.7827.102.103 para Windows y Mac and 149.0.7827.102 para Linux.
Los informes públicos dicen que la falla se puede activar a través de una página HTML especialmente diseñada y puede permitir a un atacante remoto ejecutar código arbitrario dentro del sandbox del navegador. SecurityWeek añade que el bug es el quinto día cero de Chrome explotado en 2026, después de CVE-2026-2441, CVE-2026-3909, CVE-2026-3910 y CVE-2026-5281.
El más importante información sobre CVE-2026-11645 aún es limitada porque Google ha restringido los detalles del bug mientras se propagan las actualizaciones. La compañía dice que la vulnerabilidad fue reportada a finales de abril de 2026 por un investigador anónimo, y SecurityWeek informa que el investigador recibió una recompensa de $55,000 .
Análisis de CVE-2026-11645
For Análisis de CVE-2026-11645, la descripción pública confirmada sigue siendo limitada: Google clasifica el problema como “acceso a memoria fuera de los límites en V8”, mientras que BleepingComputer y SecurityWeek lo describen como un fallo de lectura/escritura fuera de los límites. En términos prácticos, significa que el contenido web malicioso puede empujar al motor más allá de los límites de memoria previstos, lo que puede exponer datos sensibles, hacer que el navegador se bloquee o crear un camino para la ejecución de código dentro del sandbox.
Desde el punto de vista de la exposición, CVE-2026-11645 afecta a los usuarios de escritorio de Chrome que aún no se han actualizado al lanzamiento 149 corregido. BleepingComputer señala que la explotación exitosa puede llevar a la corrupción de la memoria y el acceso no autorizado más allá del búfer de memoria previsto, y también dice que la falla podría ayudar a los atacantes a eludir protecciones como ASLR, lo que podría facilitar la utilización de una segunda vulnerabilidad.
Al momento de escribir, no hay PoC para CVE-2026-11645 en las fuentes citadas, y Google no ha revelado detalles técnicos de exploits o victimología. SecurityWeek señala que no hay información disponible sobre los ataques, aunque dice que probablemente el día cero se usó junto con un fallo de escape del sandbox en operaciones del mundo real.
Mitigación de CVE-2026-11645
El paso inmediato para la mitigación de CVE-2026-11645 es actualizar Chrome a las versiones Estables corregidas que Google lanzó el 8 de junio de 2026. Los usuarios que no actualicen manualmente generalmente recibirán la corrección automáticamente en el próximo reinicio del navegador, aunque Google dice que el despliegue puede tardar días o semanas en alcanzar completamente a todos los usuarios.
Para los defensores, la detección de of CVE-2026-11645 es limitada porque Google ha retenido deliberadamente información técnica más profunda, y no se han publicado IOCs relacionados con la explotación de CVE-2026-11645 en los informes citados. En la práctica, los equipos deberían detectar la exposición a CVE-2026-11645 identificando instalaciones de Chrome no gestionadas o desactualizadas, priorizando a los grupos de usuarios de alto riesgo y confirmando que las flotas empresariales han llegado a las versiones 149 corregidas.
FAQ
¿Qué es CVE-2026-11645 y cómo funciona?
CVE-2026-11645 es un fallo de seguridad de memoria de alta severidad en Chrome V8. Google lo describe como un acceso a memoria fuera de los límites en V8, y los informes públicos dicen que un atacante remoto puede usar una página HTML especialmente diseñada para activar el error y potencialmente ejecutar código dentro del sandbox del navegador.
¿Cuándo se descubrió CVE-2026-11645 por primera vez?
Las fuentes públicas no proporcionan una fecha de descubrimiento privada, pero el aviso de Google y SecurityWeek dicen que el problema fue reportado a finales de abril de 2026 por un investigador anónimo. Google anunció la corrección el 8 de junio de 2026 y la cobertura mediática siguió el 9 de junio de 2026.
¿Cuál es el impacto de CVE-2026-11645 en los sistemas?
El impacto principal es la corrupción de memoria en el proceso del navegador. Los informes públicos dicen que la explotación puede exponer la memoria fuera del búfer previsto, provocar bloqueos y potencialmente permitir la ejecución de código arbitrario dentro del sandbox de Chrome.
¿Puede CVE-2026-11645 aún afectarme en 2026?
Sí. Los sistemas aún pueden estar expuestos en 2026 si continúan ejecutando versiones de escritorio de Chrome sin parches y los usuarios visitan contenido web malicioso antes de que se aplique la actualización. Google dice explícitamente que existe un exploit en el estado salvaje.
¿Cómo puedo protegerme de CVE-2026-11645?
Actualiza Chrome inmediatamente a la última versión Estable, reinicia el navegador para asegurarte de que se aplique el parche y verifica que los puntos finales gestionados ya no estén ejecutando versiones anteriores. Debido a que Google ha restringido los detalles técnicos, el parcheo rápido es la defensa más confiable.
