Google ha lanzado una actualización de seguridad crítica para su navegador Chrome, que aborda múltiples vulnerabilidades de alta gravedad que podrían permitir la ejecución de código arbitrario y escapes de sandbox.
La actualización del canal estable 134.0.6998.88/.89 para Windows y Mac, y 134.0.6998.88 para Linux, lanzada el 10 de marzo de 2025, incluye parches para cinco fallas de seguridad, tres de las cuales están clasificadas como de alto riesgo.
Al mismo tiempo, el canal estable extendido utilizado principalmente por empresas para pruebas por fases se actualizó a 134.0.6998.89 para Windows y Mac, y se planea una implementación gradual durante las próximas semanas.
Esta actualización sigue un patrón de mayor escrutinio sobre el motor JavaScript V8 de Chrome y los componentes de la GPU, los cuales siguen siendo objetivos principales de explotación.
Vulnerabilidades de alta gravedad parcheadas
Las correcciones más críticas apuntan a CVE-2025-1920 y CVE-2025-2135, dos tipos de vulnerabilidades de confusión en el motor JavaScript V8.
Los errores de confusión de tipos, clasificados según CWE-843, ocurren cuando el código inicializa un recurso como un tipo pero luego accede a él como un tipo incompatible, lo que provoca daños en la memoria.
En el caso de Chrome, esto podría permitir a los atacantes ejecutar código arbitrario o escapar del entorno limitado de seguridad del navegador a través de una página HTML maliciosa.
CVE-2025-1920, reportado por Excello s.r.o., obtuvo una recompensa de $7,000, mientras que CVE-2025-2135, identificado por Zhenghang Xiao (@Kipreyyy), subraya los riesgos actuales en la arquitectura de V8.
Una tercera falla de alta gravedad, CVE-TBD, implica una escritura fuera de límites en el componente GPU de Chrome.
Estas vulnerabilidades permiten a los atacantes escribir datos más allá de los límites de la memoria asignada, lo que podría provocar la caída de los sistemas o permitir la ejecución remota de código.
Los exploits relacionados con la GPU son particularmente preocupantes debido a su complejidad y la dificultad de detectar actividad maliciosa después del compromiso.
Correcciones de gravedad media
La actualización también aborda CVE-2025-2136, una vulnerabilidad de uso después de liberar en el componente Inspector, y CVE-2025-2137, una lectura fuera de límites en V8.
Los fallos de uso después de la liberación surgen cuando un programa hace referencia a memoria desasignada, lo que a menudo provoca fallos o ejecución de código, mientras que las lecturas fuera de límites pueden exponer datos confidenciales.
Estos problemas de gravedad media, informados por Sakana.S (recompensa de $3000) y zeroxiaobai@ (recompensa de $2000) respectivamente, resaltan los desafíos persistentes de administración de memoria en los subsistemas de Chrome.
Riesgos de explotación y mitigación
Si bien Google no ha confirmado la explotación activa de estas vulnerabilidades, la gravedad de las fallas parcheadas requiere una acción inmediata.
Los atacantes podrían convertir estos problemas en armas mediante ataques ocultos, en los que simplemente visitar un sitio malicioso desencadena la explotación.
Por ejemplo, una página HTML diseñada que aproveche CVE-2025-1920 podría dañar la memoria del montón, evitando las protecciones de la zona de pruebas de Chrome para instalar malware o filtrar datos.
Aunque Chrome se actualiza automáticamente, los usuarios deben reiniciar manualmente el navegador para activar los parches más recientes, un paso que a menudo se pasa por alto.
Para garantizar la protección, navegue hasta Configuración de Chrome > Acerca de Chrome para activar una verificación de actualización inmediata. Las empresas que gestionan implementaciones de flotas deben priorizar la implementación, dados los riesgos de retrasos en la aplicación de parches.
Esta actualización marca la cuarta versión importante de seguridad de Chrome en 2025, lo que refleja amenazas crecientes a componentes del navegador como V8 y GPU.
La repetida aparición de errores de confusión de tipos sugiere que el motor JavaScript de Chrome sigue siendo un objetivo de gran valor para los atacantes, lo que requiere un escrutinio continuo por parte de los equipos de seguridad de Google.
Se recomienda a los usuarios y administradores que actualicen Chrome a la versión 134.0.6998.88 o posterior sin demora.
A medida que los ataques basados en navegador se vuelven más sofisticados, mantener una rigurosa disciplina de parches sigue siendo la defensa más eficaz contra las amenazas en evolución.
