Google Chrome, el popular navegador web desarrollado por Google LLC, ampliamente utilizado en entornos de escritorio y portátiles bajo sistemas operativos Windows, macOS y Linux. Dada su relevancia, cualquier vulnerabilidad que permita la ejecución de código malicioso representa un riesgo elevado para usuarios finales y organizaciones.
A continuación se detallan dos de las vulnerabilidades más destacadas incluidas en esta versión de actualización (aunque en total se corrigen 20 fallos).
- CVE‑2025‑12428 (CVSS 8.8): Este fallo corresponde a una “type confusion” (confusión de tipos) en el motor JavaScript V8 de Chrome, que podría permitir a un atacante no autenticado, persuadiendo a un usuario de visitar un sitio web especialmente preparado, ejecutar código arbitrario en el contexto del navegador.
- CVE‑2025‑12429: Se trata de una implementación inapropiada en el motor V8 de Chrome, identificada también como problema grave que podría dar lugar a ejecución de código arbitrario. Aunque el valor oficial de CVSS no está públicamente detallado en todas las fuentes, se estima como severidad alta.
Productos afectados
| CVE | Productos afectadas | Solución |
|---|---|---|
| CVE‑2025‑12428 | Google Chrome versiones anteriores a 142.0.7444.59 (Linux/Windows) y 142.0.7444.60 (macOS). | Actualizar a Chrome v142.0.7444.59 / v142.0.7444.60 o superior. |
| CVE‑2025‑12429 | Google Chrome versiones anteriores al mismo rango (parte del lote de 20 vulnerabilidades). | Actualizar a Chrome versión 142.0.7444.59/60. |
Solución
La mitigación consiste en instalar inmediatamente la versión estable de Google Chrome 142 (Linux: 142.0.7444.59; Windows: 142.0.7444.59/60; Mac: 142.0.7444.60) o cualquier versión posterior que incorpore los parches.
Recomendaciones
- Actualizar el navegador Google Chrome lo antes posible en todos los equipos de la organización.
- Verificar que la política de actualizaciones automáticas esté habilitada y funcionando correctamente.
- Revisar inventario de navegadores para identificar equipos que no se puedan actualizar y aplicar controles compensatorios (p. ej., uso limitado o aislamiento).
- Monitorear los logs de navegación y comportamiento inusual de procesos del navegador, en busca de posibles explotaciones previas.
- Educar a los usuarios sobre los riesgos de visitar sitios desconocidos o abrir enlaces sospechosos, aunque el ataque no requiera privilegios.
Referencias
- https://cybersecuritynews.com/chrome-142-released-fix-20-vulnerabilities/
- https://cyberveille.esante.gouv.fr/alertes/google-chrome-cve-2025-12428-2025-10-30
- https://feedly.com/cve/CVE-2025-12429
- https://security-tracker.debian.org/tracker/CVE-2025-12429
- https://security-tracker.debian.org/tracker/CVE-2025-12428