Alerta de Seguridad: Vulnerabilidad Use-After-Free en Google Dawn (CVE-2026-5281)

La vulnerabilidad CVE-2026-5281 es un error de uso después de liberación (CWE-416) en Google Dawn, una biblioteca de renderizado WebGPU integrada en Chromium. El contexto técnico involucra la gestión inadecuada de memoria en el proceso de renderizado, donde un objeto liberado se accede posteriormente, permitiendo la corrupción de heap. El exploit funciona mediante una página HTML crafted que desencadena la condición UAF durante el procesamiento de gráficos WebGPU, potencialmente escalando privilegios si el atacante ha comprometido previamente el renderer sandbox. El impacto potencial incluye ejecución remota de código (RCE) arbitrario, lo que podría llevar a robo de datos, instalación de malware o control total del sistema en navegadores afectados como Google Chrome, Microsoft Edge y Opera.

• Aplicar actualizaciones de seguridad según las instrucciones del proveedor, como se detalla en el advisory de Chrome: https://chromereleases.googleblog.com/2026/03/stable-channel-update-for-desktop_31.html.
• Versiones afectadas: Todas las versiones de Google Dawn integradas en Chromium previas a las parches en el canal estable de marzo 2026; actualizar a la versión más reciente de Chromium-based products (ej. Chrome 128+).
• Seguir la guía BOD 22-01 de CISA para servicios en la nube si aplica; implementar mitigaciones como Site Isolation y deshabilitar WebGPU si no es esencial.
• Si no hay mitigaciones disponibles, discontinuar el uso del producto afectado.