Esta noticia forma parte del resumen del día:
Google Chrome y Microsoft: Parchean falla de Gemini, adoptan certificados cuánticos y alertan sobre abuso de OAuth contra gobiernos.
03 de March de 2026
Ver resumen completo
Noticia 1 de 3

Vulnerabilidad en Chrome permitía escalada de privilegios mediante Gemini

Vulnerabilidad en Chrome permitía escalada de privilegios mediante Gemini

Investigadores de Palo Alto Networks Unit 42 han revelado detalles de una vulnerabilidad ya parcheada en Google Chrome (CVE-2026-0628) que podría haber permitido a atacantes escalar privilegios y acceder a archivos locales. El fallo residía en la insuficiente aplicación de políticas en la etiqueta WebView.

Detalles de la vulnerabilidad

La vulnerabilidad, con un puntaje CVSS de 8.8, fue corregida por Google a principios de enero de 2026 en la versión 143.0.7499.192/.193 para Windows/Mac y 143.0.7499.192 para Linux. Según la descripción en la Base de Datos Nacional de Vulnerabilidades (NVD) del NIST, un atacante que convenciera a un usuario de instalar una extensión maliciosa podía inyectar scripts o HTML en una página privilegiada a través de una extensión de Chrome manipulada.

  • CVE-2026-0628: Insuficiente aplicación de políticas en la etiqueta WebView.
  • Descubierta y reportada el 23 de noviembre de 2025 por Gal Weizman de Unit 42.
  • Podría haber permitido a extensiones maliciosas con permisos básicos tomar el control del panel Gemini Live en Chrome.

Impacto potencial

La explotación exitosa de esta vulnerabilidad podría haber permitido a los atacantes:

  • Acceder a la cámara y al micrófono de la víctima sin permiso.
  • Tomar capturas de pantalla de cualquier sitio web.
  • Acceder a archivos locales.

Esto se lograba inyectando código JavaScript arbitrario en el panel lateral de Gemini, lo que permitía interactuar con el sistema de archivos y acceder a los periféricos.

Implicaciones de la integración de IA

Los investigadores de Unit 42 destacan que la integración de capacidades de inteligencia artificial (IA) directamente en los navegadores web introduce nuevos vectores de ataque. La necesidad de otorgar a estos agentes de IA acceso privilegiado al entorno de navegación para realizar operaciones complejas crea una vulnerabilidad que puede ser explotada mediante ingeniería social y la inyección de prompts ocultos en páginas web maliciosas.

La integración de paneles de IA en navegadores introduce riesgos de seguridad clásicos, como vulnerabilidades de Cross-Site Scripting (XSS), escalada de privilegios y ataques de canal lateral que pueden ser explotados por sitios web o extensiones de navegador con menos privilegios. La explotación exitosa de CVE-2026-0628 socava el modelo de seguridad del navegador y permite a un atacante ejecutar código arbitrario en "gemini.google[.]com/app" y obtener acceso a datos confidenciales.

Fuente: https://nvd.nist.gov/vuln/detail/CVE-2026-0628
Siguiente → Google Chrome implementará certificados...
Escrito por:
Luis Carreón
📰 Otras noticias del resumen
Noticia 1 (Actual)
Vulnerabilidad en Chrome permitía escalada de privilegios mediante Gemini
Noticia 2
Google Chrome implementará certificados Merkle Tree para HTTPS resistente a ataques cuánticos
Noticia 3
Microsoft advierte sobre el abuso de redirecciones OAuth para la entrega de malware a objetivos gubernamentales
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

← Volver al resumen completo Volver al inicio