El 13 de febrero de 2026 Google sacó una actualización de emergencia para Google Chrome que tapa CVE-2026-2441, el primer zero-day de Chrome del año que se está explotando de verdad. Es una vulnerabilidad de tipo use-after-free en el componente CSS del navegador, en concreto en la estructura CSSFontFeatureValuesMap, la que maneja los valores de características tipográficas (font feature values) al renderizar fuentes.
Qué es la vulnerabilidad
Un use-after-free (CWE-416) es un error de gestión de memoria: el programa sigue usando un puntero a una zona de memoria que ya se ha liberado. Aquí el origen es un bug de invalidación de iterador. Chrome recorre un conjunto de valores de características de fuentes y, a la vez, modifica ese mismo conjunto. El resultado es que el iterador del bucle acaba apuntando a datos viejos (memoria ya liberada), y eso permite corromper la memoria del proceso.
A partir de esa corrupción un atacante remoto puede llegar a ejecutar código arbitrario dentro del sandbox de Chrome con una página HTML manipulada. Lo más feo es que no hace falta ningún clic ni nada por parte del usuario: con que la víctima abra una web maliciosa, ya se dispara.
A quién afecta
Toca a Google Chrome en todas sus plataformas de escritorio: Windows, macOS y Linux. Como el fallo está en el motor de renderizado Blink, también pueden verse afectados los navegadores basados en Chromium (Microsoft Edge, Brave, Opera o Vivaldi) hasta que cada proyecto recoja la corrección upstream. En Linux entran tanto el paquete oficial de Chrome como las compilaciones de Chromium que distribuye cada distribución.
Gravedad
Google y el NVD lo marcan como de severidad alta, con una puntuación CVSS 8.8. Hay dos cosas que lo hacen más serio que un use-after-free del montón:
- Explotación confirmada en la naturaleza. Google admitió que hay un exploit en uso real, así que CVE-2026-2441 es un zero-day activo, no una vulnerabilidad sobre el papel.
- Vector de ataque trivial. Salta con solo cargar una página, lo que lo deja a tiro para campañas de drive-by download y abrevaderos (watering holes).
Lo reportó el 11 de febrero de 2026 el investigador de seguridad Shaheen Fazim, y Google sacó el parche apenas dos días después, lo que da idea de la prisa que tenían. Encima ya circulan pruebas de concepto publicadas, lo que rebaja el listón para nuevos atacantes.
Mitigación y parche
La única mitigación que sirve es actualizar el navegador cuanto antes. Las versiones que corrigen el fallo son:
- Chrome 145.0.7632.75/76 para Windows y macOS.
- Chrome 144.0.7559.75 para Linux.
Para forzar la actualización abre el menú de Chrome → Ayuda → Información de Google Chrome (o entra en chrome://settings/help); el navegador buscará e instalará la versión disponible. Luego tienes que reiniciar Chrome para que el parche tenga efecto. En Linux conviene además lanzar la actualización del paquete desde el gestor de tu distribución (apt, dnf, etc.) y cerrar y abrir cualquier instancia que tengas en marcha. Si usas un navegador basado en Chromium, vigila cuándo tu proveedor publica la versión parcheada y aplícala en cuanto la tengas.
Fuente
- NVD – CVE-2026-2441: https://nvd.nist.gov/vuln/detail/CVE-2026-2441