Google Chrome ha corregido cinco vulnerabilidades de alta severidad y cuatro vulnerabilidades de severidad media en su última actualización. Esta actualización incorpora mejoras y correcciones de seguridad importantes. A continuación, se destacan las vulnerabilidades reportadas por investigadores externos:
- CVE-2025-1914 (CVSS: 8.8)
Se detectó una lectura fuera de límites en V8 de Google Chrome, lo que permitía a un atacante remoto acceder a la memoria de manera indebida mediante la manipulación de una página HTML. - CVE-2025-1915 (CVSS: 8.1)
Una configuración inadecuada en DevTools permitía que un atacante eludiera las restricciones de acceso a archivos mediante la manipulación de una extensión de Chrome, al convencer a un usuario de instalar una extensión maliciosa. - CVE-2025-1916 (CVSS: 8.8)
Se identificó una vulnerabilidad de «uso de memoria después de su liberación» en la gestión de perfiles. Esto podría permitir a un atacante explotar un error en la administración de la memoria dinámica si logra que un usuario instale una extensión maliciosa y visite una página HTML manipulada. Esta explotación puede provocar fallos en el programa o permitir la ejecución de código arbitrario. - CVE-2025-1917 (CVSS: 4.3)
Se detectó una implementación inadecuada en la interfaz de usuario del navegador, permitiendo a un atacante remoto realizar una falsificación de la UI mediante una página HTML manipulada. - CVE-2025-1918 (CVSS: 8.8)
Se identificó una vulnerabilidad de «lectura fuera de límites» en PDFium, la cual podría permitir a un atacante remoto acceder a regiones de memoria no autorizadas. Esta explotación es posible si el atacante logra que la víctima abra un archivo PDF especialmente diseñado, lo que podría provocar la filtración de información sensible o fallos en la aplicación. - CVE-2025-1919 (CVSS: 8.8)
Se identificó una vulnerabilidad de «lectura fuera de límites» en el componente Media, la cual podría permitir a un atacante remoto acceder a áreas no autorizadas de la memoria. Para explotar esta falla, el atacante debe inducir a la víctima a visitar una página HTML especialmente diseñada, lo que podría provocar la filtración de información sensible o fallos en la aplicación. - CVE-2025-1921 (CVSS: 6.5)
Se descubrió una implementación inadecuada en Media Stream, permitiendo a un atacante remoto obtener información sobre un periférico a través de una página HTML manipulada. - CVE-2025-1922 (CVSS: 4.3)
Se identificó una implementación inapropiada en el componente Selection, la cual podría permitir a un atacante remoto manipular la interfaz de usuario (UI spoofing). Para explotar esta vulnerabilidad, el atacante podría inducir a la víctima a realizar gestos específicos en la interfaz mientras interactúa con una página HTML manipulada, lo que podría llevar a engaños visuales o acciones no intencionadas por parte del usuario. - CVE-2025-1923 (CVSS: 4.3)
Se identificó una implementación inadecuada en la gestión de permisos de solicitud en Chrome, lo que podría permitir a un atacante realizar una falsificación de interfaz de usuario (UI spoofing). Para explotar esta vulnerabilidad, el atacante debe inducir a la víctima a instalar una extensión maliciosa manipulada, lo que podría generar engaños visuales y acciones no intencionadas por parte del usuario.
Versiones afectadas:
- Linux: Versiones anteriores a 134.0.6998.35
- Windows: Versiones anteriores a 134.0.6998.35/36
- Mac: Versiones anteriores a 134.0.6998.44/45
Solución:
- Actualizar a la versión 134.0.6998.35 en Linux
- Actualizar a la versión 134.0.6998.35/36 en Windows
- Actualizar a la versión 134.0.6998.44/45 en Mac
Recomendaciones:
- Mantener Google Chrome actualizado a la versión estable más reciente.
- Evitar la instalación de extensiones de fuentes no verificadas.
- Configurar las opciones de seguridad del navegador para minimizar los riesgos de ejecución de código malicioso.
Referencias: