Second Hand News

La informática es fácil. Todo lo que necesitas hacer es pulsar el botón correcto.

Google Corrige Vulnerabilidad Crítica en Chrome: CVE-2025-10585

Google ha publicado una actualización de seguridad urgente para Chrome tras detectar una vulnerabilidad crítica que está siendo explotada activamente (zero-day). El fallo, identificado como CVE-2025-10585, afecta al motor V8 de JavaScript y WebAssembly. Aunque no han trascendido demasiados detalles, se sabe que, nuevamente, se trata de un problema de confusión de tipos (type confusion), que ocurre cuando el software interpreta erróneamente un bloque de memoria como un tipo de objeto diferente, abriendo la puerta a la ejecución de código arbitrario.

Para que el ataque tenga éxito basta con que el usuario visite una página con código malicioso, sin necesidad de descargas o interacción adicional. Esto puede dar a los atacantes la capacidad de ejecutar código en el dispositivo, acceder a información sensible y comprometer el sistema operativo.

El Threat Analysis Group (TAG) de Google descubrió la vulnerabilidad el 16 de septiembre de 2025, distribuyéndose el parche los días 17 y 18 de septiembre de 2025. Son vulnerables todas las versiones anteriores a Chrome 140 (Windows/Mac: 140.0.7339.185/.186; Linux: 140.0.7339.185). Los navegadores que utilizan el motor V8, como Edge, Brave, Opera y Vivaldi (todos basados en Chromium), también deberán integrar el parche en breve.

Además de los navegadores, otras aplicaciones que usan V8 —como Node.js y frameworks basados en Electron— también necesitan actualizarse. Este recordatorio es especialmente relevante dado el número e importancia de aplicaciones basadas en Electron, como Visual Studio Code o el ya descontinuado Atom. Cada aplicación basada en Electron mantiene su propia copia de V8, que debe actualizarse de forma independiente.

Más allá de las diferencias técnicas entre vulnerabilidades concretas, lo preocupante es la reincidencia del mismo patrón en el motor V8. En lo que va de 2025, Google ya ha parcheado seis vulnerabilidades zero-day en Chrome, varias de ellas relacionadas con errores de type confusion. Esta repetición sugiere que V8, por su complejidad y por su papel central en la ejecución de JavaScript y WebAssembly, seguirá siendo un blanco recurrente. Como siemnpre, el remedio es la actualización contínua de nuestras aplicaciones

A la fecha de esta publicación, la vulnerabilidad no aparece todavía en la base de datos pública de cve.org manteniendo el estatus de “reservada”. La publicación oficial puede retrasarse semanas o incluso meses, siguiendo la política de coordinated disclosure.

Google, seguridad, chrome, zero-day

TOP