Google lanzó el 22 de mayo de 2026 una actualización estable de Chrome que tapa un agujero serio para quienes navegan en Linux. La versión 148.0.7778.178/179 para Windows y Mac, y la 148.0.7778.178 para Linux, corrige un use-after-free en WebRTC catalogado como CVE-2026-9111 y clasificado como crítico.
Qué falla exactamente
WebRTC es el componente que Chrome usa para las videollamadas, el audio y la transferencia de datos en tiempo real dentro del navegador. Un use-after-free aparece cuando el programa libera una región de memoria pero sigue manteniendo referencias a ella; si un atacante consigue colocar datos controlados en esa memoria ya liberada antes de que el código vuelva a tocarla, puede desviar la ejecución y acabar corriendo su propio código.
La gravedad aquí es directa. No hace falta abrir un archivo ni instalar nada. Basta con que la víctima visite una página HTML preparada para disparar el fallo en WebRTC. Como el componente se activa en muchos sitios sin pedir permiso explícito, la superficie de exposición durante la navegación normal es amplia.
A quién afecta
CVE-2026-9111 golpea a Chrome en Linux en cualquier versión anterior a la 148.0.7778.178. Eso incluye a usuarios de escritorio con distribuciones como Ubuntu, Debian, Fedora o Arch que tengan instalado Chrome (no Chromium del repositorio, que sigue su propio calendario). También afecta a navegadores derivados de Chromium que no hayan portado el parche, aunque cada proyecto lleva su ritmo.
El mismo lote arregla CVE-2026-9110, una suplantación de interfaz en Windows que necesita que el atacante ya haya comprometido el proceso de renderizado. Esa segunda no toca a Linux, pero conviene tenerla presente si compartes equipos con Windows.
Cómo de grave es
Google marcó CVE-2026-9111 como crítico, su categoría más alta. La combinación de ejecución de código y disparo remoto sin interacción más allá de visitar un sitio es lo que justifica esa etiqueta. En el momento de la publicación Google no confirmó explotación activa, pero los use-after-free en motores de navegador suelen tener vida corta antes de que aparezcan exploits, así que el margen para actualizar es estrecho.
Cómo mitigarlo
Actualiza Chrome ya. En Linux, abre el menú, entra en Configuración y luego en “Información de Chrome” (chrome://settings/help). El navegador comprueba la versión, descarga el parche y te pide reiniciar para aplicarlo. Confirma después que la cadena de versión sea 148.0.7778.178 o superior.
Si gestionas un parque de máquinas, fuerza la actualización por tu sistema de despliegue en lugar de confiar en que cada usuario reinicie. Y si usas Chromium del repositorio de la distribución, vigila los avisos de seguridad de tu distro: el commit upstream está disponible, pero la llegada del paquete parcheado depende de cada mantenedor.
Fuente
- Malwarebytes — Update Chrome now: Critical bugs could let attackers run code: https://www.malwarebytes.com/blog/bugs/2026/05/update-chrome-now-critical-bugs-could-let-attackers-run-code
- NVD — CVE-2026-9111: https://nvd.nist.gov/vuln/detail/CVE-2026-9111