Resumen ejecutivo
Se han descubierto múltiples vulnerabilidades críticas en Google Chrome que requieren atención inmediata. Ls errores incluyen varios casos de "use after free" en Media Stream y Digital Credentials, así como una vulnerabilidad de tipo "Type Confusion" en V8, todas con una puntuación CVSS de 8.8. Estas permiten a un atacante remoto ejecutar código malicioso tras inducir a la víctima a abrir páginas HTML diseñadas. Además, se reporta una escalada de privilegios en Google Updater en Mac que podría conceder acceso no autorizado a través de un archivo manipulado, también con una puntuación de 8.8. Otra vulnerabilidad, de "mal casting" en el Loader, podría permitir la corrupción de memoria mediante el control del proceso de renderizado. Dada la gravedad de estos hallazgos, es crucial aplicar las correcciones de seguridad en las versiones anteriores a 143.0.7499.41 para mitigar los riesgos.
Recursos afectados
- Google Chrome (versiones afectadas: anteriores a 143.0.7499.41)
Análisis técnico
- CVE-2025-13638: Una vulnerabilidad de tipo "use after free" en Media Stream de Google Chrome antes de la versión 143.0.7499.41 permite a un atacante remoto explotar potencialmente la corrupción de la memoria. El impacto podría permitir el control sobre la ejecución de la aplicación afectada. Para aprovechar esta falla, el atacante debe inducir a la víctima a abrir una página HTML especialmente diseñada.
- CWE-416
- CVSS: 8.8 (alta)
- Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
- Explotación: No detectada
- CVE-2025-13630: La vulnerabilidad Type Confusion en V8 de Google Chrome antes de la versión 143.0.7499.41 permite a un atacante remoto explotar la corrupción de heap a través de una página HTML manipulada. Esto podría resultar en compromisos de seguridad importantes. Para que esta vulnerabilidad sea explotada, el atacante necesita que la víctima visite la página HTML maliciosa.
- CWE-843
- CVSS: 8.8 (alta)
- Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
- Explotación: No detectada
- CVE-2025-13633: Una vulnerabilidad de uso después de liberar (use after free) en Digital Credentials de Google Chrome antes de 143.0.7499.41 permite a un atacante remoto que haya comprometido el proceso de renderización explotar potencialmente la corrupción de memoria mediante una página HTML manipulada. El impacto puede ser grave, permitiendo la ejecución de código malicioso. Se requiere que el atacante tenga acceso al proceso de renderización para llevar a cabo la explotación.
- CWE-416
- CVSS: 8.8 (alta)
- Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
- Explotación: No detectada
- CVE-2025-13631: Una implementación inapropiada en Google Updater de Google Chrome en Mac antes de la versión 143.0.7499.41 permite a un atacante remoto realizar una escalada de privilegios mediante un archivo manipulado. Esto podría comprometer la seguridad del sistema afectado, permitiendo el acceso no autorizado. Para explotar esta vulnerabilidad, el atacante necesita enviar el archivo malicioso al objetivo.
- CWE N/A
- CVSS: 8.8 (alta)
- Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
- Explotación: No detectada
- CVE-2025-13720: Una vulnerabilidad de "mal casting" en el Loader de Google Chrome versiones anteriores a 143.0.7499.41 permite a un atacante remoto, que ha comprometido el proceso de renderizado, explotar potencialmente la corrupción de memoria mediante una página HTML manipulada. Esto puede resultar en la ejecución de código malicioso con un impacto de gravedad media. Para explotar esta vulnerabilidad, el atacante necesita controlar el proceso de renderizado.
- CWE-704
- CVSS: 8.8 (alta)
- Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
- Explotación: No detectada
Mitigación / Solución
Se recomienda actualizar Google Chrome a la versión 143.0.7499.41 o posterior para mitigar las vulnerabilidades de seguridad identificadas.