Google ha lanzado una actualización de seguridad de emergencia para su navegador Chrome, abordando cinco vulnerabilidades que podrían permitir a atacantes ejecutar código malicioso de forma remota. Esta actualización corresponde a la versión 142.0.7444.134/.135 para Windows, 142.0.7444.135 para macOS y 142.0.7444.134 para Linux. Las fallas corregidas afectan componentes centrales como WebGPU, el motor JavaScript V8 y la barra de direcciones Omnibox.
Las vulnerabilidades de ejecución remota de código en componentes como WebGPU y V8 son especialmente críticas, ya que podrían permitir que sitios web maliciosos comprometan sistemas sin interacción adicional del usuario más allá de visitar una página manipulada. Entre las fallas se incluyen problemas de escritura fuera de límites, implementaciones inapropiadas que permiten corrupción de memoria, manipulación de interfaz y suplantación de URL.
- CVE-2025-12725 (CVSS 8.8): Falla de escritura fuera de límites en WebGPU que permite corrupción de memoria y ejecución remota de código mediante contenido web malicioso. Afecta el renderizado de gráficos acelerados por GPU en aplicaciones web.
- CVE-2025-12726 (CVSS 8.1): Implementación inapropiada en el componente Views que permite manipulación de la interfaz de usuario y ejecución de código remoto a través de páginas web diseñadas maliciosamente.
- CVE-2025-12727(CVSS 8.8): Falla en el motor V8 de JavaScript que permite corrupción de memoria (heap) y ejecución de código remoto mediante scripts especialmente diseñados.
- CVE-2025-12728 (CVSS 6.5): Falla en Omnibox que permite suplantación de la barra de direcciones, facilitando ataques de phishing. No permite ejecución de código directa pero apoya técnicas de ingeniería social.
- CVE-2025-12729 (CVSS 6.1): Falla similar en Omnibox que permite manipulación de URLs para engañar visualmente al usuario. Aumenta los riesgos de suplantación en interfaces web.
PRODUCTOS AFECTADOS
- Estas vulnerabilidades afectan a Google Chrome en sus versiones anteriores a la 142.0.7444.134/.135 para Windows, 142.0.7444.135 para macOS y 142.0.7444.134 para Linux. Los componentes comprometidos incluyen WebGPU, Views, V8 y Omnibox, presentes en todas las plataformas compatibles.
SOLUCIÓN
- Para mitigar estas vulnerabilidades, se debe actualizar Google Chrome a la versión 142.0.7444.134/.135 para Windows, 142.0.7444.135 para macOS o 142.0.7444.134 para Linux.
RECOMENDACIONES
- Verificar manualmente que Chrome esté actualizado a la última versión y reiniciar el navegador tras la instalación
- Habilitar y reforzar las políticas de actualización automática en entornos empresariales para reducir la ventana de exposición
- Evitar el acceso a sitios web no confiables y limitar el uso de extensiones innecesarias que puedan incrementar la superficie de ataque
REFERENCIAS
- https://thehackernews.com/2025/11/google-chrome-emergency-update-fixes-five-vulnerabilities.html
- https://chromereleases.googleblog.com/2025/11/stable-channel-update-for-desktop.html
- https://securityonline.info/google-chrome-critical-security-update-five-vulnerabilities-fixed/
- https://www.bleepingcomputer.com/news/security/google-chrome-gets-emergency-update-to-fix-5-security-flaws/