Google ha publicado una actualización crítica para su navegador Chrome, dirigida a corregir tres vulnerabilidades que afectan a componentes clave del navegador. Dos de estas fallas han sido clasificadas como de alta severidad, ya que podrían permitir la ejecución remota de código mediante la explotación de errores de memoria. Estas vulnerabilidades afectan a las versiones anteriores a 141.0.7390.65/.66 de Chrome en Windows, macOS y Linux.
Debido al riesgo de que usuarios accedan a sitios web maliciosos especialmente diseñados para explotar estas fallas, se recomienda aplicar la actualización de forma inmediata en todos los sistemas.
Vulnerabilidades identificadas:
- CVE-2025-11458 (CVSS 8.8): Vulnerabilidad de tipo Heap Buffer Overflow ubicada en el componente Sync de Google Chrome. Un atacante puede aprovechar esta condición para escribir fuera de los límites de memoria asignada, lo que podría provocar corrupción de memoria, fallos del navegador o incluso ejecución de código arbitrario. Fue reportada por raven de KunLun Lab el 5 de septiembre de 2025.
- CVE-2025-11460 (CVSS 8.8): Falla de tipo Use-After-Free en el subsistema de almacenamiento del navegador, que gestiona tecnologías como IndexedDB, LocalStorage y las API de caché. Esta vulnerabilidad permite la reutilización de punteros liberados, lo que podría provocar ejecución remota de código a través de páginas web especialmente diseñadas. Reportada por el investigador «Sombra» el 23 de septiembre de 2025.
- CVE-2025-11211 (CVSS 5.5): Vulnerabilidad de lectura fuera de límites en la API WebCodecs, utilizada para el procesamiento de audio y video. Si es explotada, podría permitir el acceso a información en memoria o causar inestabilidad en el navegador mediante archivos multimedia maliciosos. Fue reportada por Jakob Košir el 29 de agosto de 2025.
Productos afectados:
Los siguientes productos y versiones están afectados por estas vulnerabilidades:
- Google Chrome en versiones anteriores a 141.0.7390.65/.66 para Windows y macOS.
- Google Chrome en versiones anteriores a 141.0.7390.65 para Linux.
Solución:
- Actualizar a la versión 141.0.7390.65/.66 de Google Chrome para Windows, macOS y Linux, según el sistema operativo correspondiente.
Recomendaciones:
- Actualizar inmediatamente todos los sistemas que utilicen versiones vulnerables de Google Chrome.
- Verificar que el navegador haya sido reiniciado para aplicar los parches correctamente.
- Supervisar el tráfico de red y eventos del sistema en busca de indicios de explotación activa o comportamiento anómalo relacionado con procesos del navegador.
- Validar que todos los navegadores basados en Chromium en uso dentro del entorno organizacional estén alineados con sus versiones más recientes y seguras.
Referencias: