Google Chrome y Microsoft: Parchean falla de Gemini, adoptan certificados cuánticos y alertan sobre abuso de OAuth contra gobiernos.
Resumen del día
* Google corrigió una vulnerabilidad crítica en Chrome relacionada con Gemini que permitía la escalada de privilegios y el acceso a archivos locales.
* Chrome prepara su defensa post-cuántica mediante la implementación de Merkle Tree Certificates para asegurar las conexiones HTTPS en el futuro.
* Microsoft alertó sobre campañas de phishing dirigidas a gobiernos que abusan de las redirecciones de OAuth para distribuir malware.
Investigadores de Palo Alto Networks Unit 42 han revelado detalles de una vulnerabilidad ya parcheada en Google Chrome (CVE-2026-0628) que podría haber permitido a atacantes escalar privilegios y acceder a archivos locales. El fallo residía en la insuficiente aplicación de políticas en la etiqueta WebView.
Detalles de la vulnerabilidad
La vulnerabilidad, con un puntaje CVSS de 8.8, fue corregida por Google a principios de enero de 2026 en la versión 143.0.7499.192/.193 para Windows/Mac y 143.0.7499.192 para Linux. Según la descripción en la Base de Datos Nacional de Vulnerabilidades (NVD) del NIST, un atacante que convenciera a un usuario de instalar una extensión maliciosa podía inyectar scripts o HTML en una página privilegiada a través de una extensión de Chrome...
Google ha anunciado el desarrollo de una nueva implementación en su navegador Chrome para asegurar que los certificados HTTPS sean resistentes a las futuras amenazas de las computadoras cuánticas. La iniciativa se centra en la evolución de los certificados HTTPS basados en Merkle Tree Certificates (MTCs), actualmente en desarrollo dentro del grupo de trabajo PLANTS.
Merkle Tree Certificates (MTCs)
Los MTCs representan una propuesta para la próxima generación de la Infraestructura de Clave Pública (PKI) utilizada para proteger internet. Su objetivo es reducir la cantidad de claves públicas y firmas en el protocolo de enlace TLS al mínimo indispensable. Bajo este modelo, una Autoridad de Certificación (CA) firma un único 'Tree Head' que representa potencialmente millones de...
Microsoft advierte sobre el abuso de redirecciones OAuth para la entrega de malware a objetivos gubernamentales
Microsoft ha emitido una advertencia sobre campañas de phishing que emplean correos electrónicos de phishing y mecanismos de redirección de URL OAuth para eludir las defensas de phishing convencionales implementadas en el correo electrónico y los navegadores. El objetivo de esta actividad son las organizaciones gubernamentales y del sector público, con la finalidad de redirigir a las víctimas a una infraestructura controlada por el atacante sin robar sus tokens.
Técnica de Ataque
Los ataques de phishing se describen como una amenaza basada en la identidad que aprovecha el comportamiento estándar de OAuth, en lugar de explotar vulnerabilidades de software o robar credenciales. Los atacantes abusan de una característica legítima de OAuth que permite a los proveedores de...
