Google ha lanzado una nueva actualización para su navegador Chrome en los canales Stable y Extended Stable. Esta actualización aborda varias vulnerabilidades de seguridad que podrían ser explotadas por atacantes remotos. A continuación, se detallan las vulnerabilidades identificadas:
- CVE-2025-1920 (CVSS: 8.8): Se ha detectado un error en la gestión de tipos de datos en el motor V8 de Google Chrome. Esta falla permite que un atacante remoto manipule la memoria del navegador utilizando una página HTML especialmente diseñada, lo que puede causar corrupción en la memoria del sistema y, en algunos casos, permitir la ejecución de código malicioso.
- CVE-2025-2135 (CVSS: 8.8): Se ha identificado otro fallo en la gestión de tipos de datos dentro del motor V8 de Google Chrome. Un atacante remoto podría explotar esta vulnerabilidad para alterar la forma en que el navegador maneja ciertos datos en memoria, lo que podría provocar errores graves en el sistema e incluso permitir la ejecución de código no autorizado mediante una página HTML maliciosa.
- CVE-2025-2136 (CVSS: 8.8): Se ha detectado una vulnerabilidad de uso después de liberación (Use-After-Free, UAF) en el Inspector de Google Chrome. Esta falla permite a un atacante remoto acceder y modificar memoria previamente liberada, lo que podría generar fallos en el navegador o permitir la ejecución de código malicioso mediante una página HTML especialmente diseñada.
- CVE-2025-2137 (CVSS: 8.8): Se ha identificado una vulnerabilidad de lectura fuera de los límites en el motor V8 de Google Chrome. Un atacante remoto podría aprovechar esta falla para acceder a datos que normalmente estarían protegidos, lo que podría exponer información sensible o causar fallos en el navegador al cargar una página HTML maliciosa.
- CVE-TBD: Se ha descubierto una vulnerabilidad en el manejo de la memoria de la GPU en Google Chrome que permite escribir datos más allá del espacio asignado. Un atacante podría aprovechar esta falla para modificar áreas de memoria críticas, lo que podría resultar en la ejecución de código malicioso o en la interrupción del funcionamiento del sistema.
Versiones afectadas:
- Versiones anteriores a 134.0.6998.88 en Windows, Mac y Linux.
- Versiones anteriores a 134.0.6998.89 en Windows y Mac (canal Extended Stable)
Solución:
- Actualizar el navegador a la versión 134.0.6998.88/.89 en Windows, Mac y Linux
Recomendaciones:
- Mantener actualizado Google Chrome a la última versión disponible.
- Evitar acceder a sitios web de dudosa procedencia o abrir enlaces sospechosos.
- Configurar las actualizaciones automáticas para garantizar que el navegador esté siempre protegido contra nuevas vulnerabilidades.
Referencias:
- https://securityonline.info/chrome-update-5-security-fixes-high-risk-flaws-addressed-asap/
- https://chromereleases.googleblog.com/2025/03/stable-channel-update-for-desktop_10.html
- https://www.cve.org/CVERecord?id=CVE-2025-1920
- https://www.cve.org/CVERecord?id=CVE-2025-2135
- https://www.cve.org/CVERecord?id=CVE-2025-2136