Noticias

Vulnerabilidades críticas en Chrome con explotación activa

Fecha de publicación: 

Resumen ejecutivo

Google ha lanzado una actualización del canal estable de Chrome (versión 137.0.7151.68/.69 para Windows y Mac, y 137.0.7151.68 para Linux) con mejoras de seguridad que se desplegarán progresivamente. Esta versión corrige tres vulnerabilidades, destacando una crítica CVE-2025-5419 relacionada con lecturas y escrituras fuera de límites en el motor V8, que ya está siendo explotada activamente. También se solucionó una vulnerabilidad de tipo use-after-free en Blink CVE-2025-5068. Google ha restringido temporalmente el acceso a detalles técnicos para proteger a los usuarios hasta que la mayoría haya actualizado

Recursos afectados

  • Canal estable de Chrome para escritorio (versión 137.0.7151.68/.69 para Windows y Mac, y 137.0.7151.68 para Linux)

Análisis técnico

  • CVE-2025-5419: La lectura y escritura fuera de límites en V8 en Google Chrome antes de 137.0.7151.68 permitió a un atacante remoto potencialmente explotar la corrupción del montón a través de una página HTML diseñada específicamente para ello. (Gravedad de la seguridad de Chromium: Alta)
    • CWE-787
    • CVSS: 8.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotación: Detectada
  • CVE-2025-5068: El uso después de liberar en Blink en Google Chrome anterior a 137.0.7151.68 permitió a un atacante remoto explotar potencialmente la corrupción del montón a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: Media)
    • CWE-416
    • CVSS: 8.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotación: No detectada

Mitigación / Solución

El fabricante sugiere mitigar y solucionar los problemas de seguridad mencionados actualizando el canal estable de Chrome a las versiones 137.0.7151.68/.69 para Windows y Mac y a la versión 137.0.7151.68 para Linux. Esta actualización va a ser desplegada en los siguientes días o semanas. Se han incluido tres correcciones de seguridad en esta actualización. La amenaza CVE-2025-5419, que es una lectura y escritura fuera de límites en V8, ya se mitigó el 2025-05-28 mediante un cambio de configuración para todas las plataformas de Chrome. Google está al tanto de un exploit existente para CVE-2025-5419 en el escenario real. Además, Google agradece a todos los investigadores de seguridad que colaboraron durante el ciclo de desarrollo para prevenir bugs de seguridad en el canal estable.

Referencias adicionales