Vulnerabilidades críticas en Microsoft Edge exponen a ataques remotos
Publicado el
Microsoft ha emitido parches para tres vulnerabilidades críticas en su navegador Edge, las cuales podrían permitir a atacantes control remoto del equipo. Estas fallas fueron identificadas durante el evento de ciberseguridad Pwn2Own, celebrado en Berlín, donde se reportaron un total de 47 vulnerabilidades de día cero y se ofrecieron recompensas que alcanzaron casi 1,3 millones de dólares.
Las vulnerabilidades están registradas como CVE-2026-45492, CVE-2026-45494 y CVE-2026-45495. Fueron divulgadas el 4 de junio de 2026, después de que Microsoft implementara actualizaciones para mitigarlas. Esta práctica es habitual para dar tiempo a los usuarios a aplicar los parches necesarios y protegerse de posibles ataques.
Descripción de las vulnerabilidades
La primera, CVE-2026-45492, presenta un error de validación de origen que permite a un atacante eludir medidas de seguridad. Esta vulnerabilidad ha recibido una puntuación de 4.3 en la escala CVSS. Para ser explotada, la víctima debe visitar un sitio web malicioso o abrir un archivo infectado, lo que podría facilitar ataques adicionales mediante la combinación de esta falla con otros métodos.
La segunda vulnerabilidad, CVE-2026-45494, tiene una puntuación de 5.0 en CVSS y se relaciona con la lógica de manejo de navegación en Edge. Si un atacante remoto logra explotar esta falla, podría ejecutar scripts maliciosos en el contexto de cualquier dominio que el usuario esté visitando, lo que podría comprometer su información personal.
La más grave, CVE-2026-45495, ha obtenido una puntuación de 7.5 en CVSS. Esta vulnerabilidad se refiere a una entrada de directorio en el componente de gestión de archivos de retroalimentación de Edge, provocada por una validación insuficiente de la ruta proporcionada por el usuario. Esto permitiría a un atacante acceder a archivos y potencialmente ejecutar código malicioso.
Recomendaciones de actualización
Para mitigar estos riesgos, es fundamental mantener el navegador actualizado. Aunque estas vulnerabilidades afectan específicamente a Microsoft Edge, es una práctica recomendable aplicar actualizaciones a todos los navegadores utilizados, como Google Chrome o Mozilla Firefox. Tener las versiones más recientes no solo corrige fallos de seguridad, sino que también mejora el rendimiento del navegador.
Se aconseja a los usuarios revisar regularmente sus programas y asegurarse de que están utilizando las últimas actualizaciones disponibles. Microsoft ha corregido estas vulnerabilidades, por lo que es crucial actualizar el navegador a la versión más reciente para evitar ser víctima de ataques cibernéticos.
Preguntas frecuentes
¿Cuáles son los identificadores CVE de las vulnerabilidades? Las vulnerabilidades son CVE-2026-45492, CVE-2026-45494 y CVE-2026-45495.
¿Cuál es la vulnerabilidad más grave? La más grave es CVE-2026-45495, con una puntuación de 7.5 en CVSS, que permite a un atacante remoto acceder a archivos y ejecutar código.
¿Afectan estas vulnerabilidades a todas las versiones de Edge? Afectan a las versiones de Microsoft Edge anteriores al parche publicado el 4 de junio de 2026. Si el navegador no ha sido actualizado desde entonces, es vulnerable.