Google y Microsoft han publicado una nueva batería de actualizaciones de seguridad que obliga a usuarios, empresas y administradores de sistemas a revisar de inmediato sus políticas de parcheo. En el caso de Chrome, Google ha corregido 79 vulnerabilidades, entre ellas 14 consideradas críticas. Microsoft, por su parte, ha lanzado su Patch Tuesday de mayo de 2026, con parches para 120 fallos de seguridad, incluidos 17 críticos.
Aunque no se han comunicado vulnerabilidades zero-day explotadas activamente en el paquete mensual de Microsoft, el volumen y la gravedad de los fallos corregidos evidencian la presión constante sobre navegadores, suites ofimáticas, servicios empresariales y componentes internos del sistema operativo. En términos prácticos, retrasar estas actualizaciones aumenta la ventana de exposición frente a ataques que pueden ir desde la ejecución remota de código hasta el robo de información, la elevación de privilegios o el compromiso de entornos corporativos.
Chrome corrige 79 fallos, con especial atención a la memoria
Google ha lanzado una actualización estable de Chrome que eleva el navegador a la versión 148.0.7778.167/168 en Windows y macOS, y a la 148.0.7778.167 en Linux. La compañía desplegará el parche de forma progresiva durante los próximos días, aunque los usuarios pueden forzar la actualización manualmente desde el menú del navegador.
La actualización corrige 79 vulnerabilidades, con 14 fallos catalogados como críticos. Muchas de ellas están relacionadas con errores de gestión de memoria, una de las categorías más explotadas en navegadores modernos. Entre los tipos de fallo destacan los use-after-free, los heap buffer overflow, los integer overflow, los problemas de ciclo de vida de objetos y la validación insuficiente de entradas no confiables.
Estos errores son especialmente peligrosos porque pueden permitir que un atacante ejecute código arbitrario mediante una página web maliciosa. En un escenario real, bastaría con que la víctima visite un sitio manipulado o abra un contenido especialmente diseñado para desencadenar la explotación.
WebML, Skia, Blink y otros componentes afectados
Entre las vulnerabilidades más graves corregidas por Google destaca CVE-2026-8509, un desbordamiento de búfer en el componente WebML, recompensado con una recompensa de 43.000 dólares al investigador que lo reportó. También figura CVE-2026-8510, un desbordamiento de enteros en Skia, el motor gráfico utilizado por Chrome, con una recompensa de 25.000 dólares.
El listado de fallos críticos incluye además vulnerabilidades use-after-free en componentes como UI, FileSystem, Input, Aura, HID, Blink, Tab Groups y Downloads, así como problemas en ANGLE, WebShare, DataTransfer y Payments.
Google mantiene restringidos los detalles técnicos y las pruebas de concepto hasta que la mayoría de usuarios haya actualizado. Esta práctica busca reducir el riesgo de que los ciberdelincuentes conviertan rápidamente la información en exploits funcionales. Sin embargo, una vez publicados los parches, los atacantes suelen analizar las diferencias entre versiones para identificar el fallo y desarrollar código de explotación. Por eso, actualizar pronto es una medida crítica.
Microsoft corrige 120 vulnerabilidades en mayo
El Patch Tuesday de Microsoft correspondiente a mayo de 2026 incluye correcciones para 120 vulnerabilidades. De ellas, 17 son críticas: 14 de ejecución remota de código, dos de elevación de privilegios y una de divulgación de información.
Por categorías, Microsoft ha solucionado 61 vulnerabilidades de elevación de privilegios, 31 de ejecución remota de código, 14 de divulgación de información, 13 de suplantación, 8 de denegación de servicio y 6 de omisión de funciones de seguridad.
Aunque la compañía no ha informado de zero-days en esta ronda, varias vulnerabilidades requieren atención prioritaria por su impacto potencial en entornos corporativos. Entre ellas figuran fallos en Microsoft Office, Word, Excel, SharePoint Server, Windows DNS Client, Windows GDI, Windows Netlogon, Hyper-V y Windows Native WiFi Miniport Driver.
Office y Word, un vector clásico de ataque
Una parte importante de las correcciones afecta a Microsoft Office, Word y Excel. Estos fallos pueden permitir ejecución remota de código si el usuario abre un archivo malicioso. En algunos casos, el riesgo es mayor porque la explotación puede producirse a través del panel de vista previa, sin necesidad de que el archivo se abra completamente.
Este tipo de vulnerabilidades sigue siendo especialmente relevante para empresas, administraciones y profesionales que reciben documentos adjuntos de forma habitual. Los atacantes suelen utilizar facturas falsas, currículos, presupuestos, notificaciones legales o documentos administrativos como señuelo para conseguir que la víctima interactúe con el archivo.
Por ello, los equipos de seguridad deberían priorizar la actualización de Office en puestos de trabajo expuestos a correo electrónico, departamentos financieros, recursos humanos, asesorías, despachos profesionales y áreas con alto volumen de intercambio documental.
Vulnerabilidades destacadas en Windows y SharePoint
Entre los fallos más relevantes corregidos por Microsoft se encuentra CVE-2026-35421, una vulnerabilidad de ejecución remota de código en Windows GDI que podría explotarse mediante un archivo EMF malicioso abierto con Microsoft Paint.
También destaca CVE-2026-40365, una vulnerabilidad crítica de ejecución remota de código en Microsoft SharePoint Server. En este caso, un atacante autenticado podría ejecutar código de forma remota en un servidor SharePoint vulnerable. Dado que SharePoint suele utilizarse para documentación interna, colaboración y gestión de contenidos corporativos, cualquier fallo crítico en este entorno debe tratarse con máxima prioridad.
Otro fallo importante es CVE-2026-41096, una vulnerabilidad de ejecución remota de código en Windows DNS Client. Un servidor DNS controlado por un atacante podría enviar una respuesta especialmente diseñada a un sistema vulnerable, provocar corrupción de memoria y ejecutar código de forma remota. Este tipo de vulnerabilidad es especialmente sensible porque afecta a un componente básico de conectividad.
