Google ha lanzado una actualización de emergencia para corregir una vulnerabilidad 0-day crítica identificada como CVE-2025-5419, que está siendo explotada activamente en entornos reales. La falla afecta al motor JavaScript V8 de Google Chrome y permite a atacantes remotos ejecutar código arbitrario en los sistemas de las víctimas a través de páginas web maliciosas. El riesgo es particularmente alto, ya que esta vulnerabilidad puede ser aprovechada simplemente al visitar un sitio comprometido o malicioso, sin requerir interacción adicional por parte del usuario.
Detalle de la vulnerabilidad
CVE-2025-5419 – Criticidad Alta (CVSS 8.8): El fallo reside en un type confusion dentro del componente V8 de Chrome, lo que permite la ejecución remota de código al manipular la forma en que el motor interpreta objetos en memoria. Esta condición puede derivar en corrupción de memoria y ejecución arbitraria de instrucciones, lo cual ha sido aprovechado por actores desconocidos en ataques dirigidos. Google ha confirmado la explotación activa de esta falla y ha restringido la divulgación técnica completa para evitar que se amplíe su uso mientras se despliega el parche.
Productos o versiones afectadas
- Google Chrome en versiones anteriores a 137.0.7151.68 (Linux) y 137.0.7151.68/.69 (Windows y macOS).
Solución
Actualizar inmediatamente a Google Chrome versión 137.0.7151.68 en Linux o 137.0.7151.68/.69 en Windows y macOS.
Recomendaciones
Aplicar la actualización lo antes posible desde el menú del navegador o descargando la versión más reciente desde el sitio oficial de Google Chrome. Activar las actualizaciones automáticas si aún no están habilitadas.
Referencias
- https://cybersecuritynews.com/chrome-0-day-vulnerability-exploited-in-the-wild/
- https://nvd.nist.gov/vuln/detail/CVE-2025-5419
- https://thehackernews.com/2025/06/new-chrome-zero-day-actively-exploited.html
- https://www.bleepingcomputer.com/news/security/google-patches-new-chrome-zero-day-bug-exploited-in-attacks/