Google ha identificado una vulnerabilidad de seguridad crítica en el navegador Chrome, que afecta a una amplia base de usuarios en sistemas operativos Windows, Mac, Linux y Android. Esta falla podría permitir la ejecución de código no autorizado por parte de actores malintencionados, mediante la manipulación de páginas web. En respuesta, se ha implementado una actualización urgente con el fin de mitigar el riesgo de explotación generalizada.
La falla de seguridad identificada como CVE-2025-2476 ha sido clasificada como una vulnerabilidad crítica de memoria de uso después de liberación (UAF) en el componente Lens de Chrome.
Fue descubierto e informado por el investigador de seguridad SungKwon Lee de Enki Whitehat el 5 de marzo de 2025.
Este grave problema podría permitir a atacantes remotos explotar la corrupción del montón a través de páginas HTML especialmente diseñadas.
Las vulnerabilidades de uso después de la liberación representan una clase particularmente peligrosa de fallas de administración de memoria que ocurren cuando un programa continúa haciendo referencia a la memoria después de haber sido liberada.
En términos prácticos, cuando se introducen datos maliciosos antes de que se produzca la consolidación de la memoria, los atacantes pueden aprovechar esta condición para ejecutar código arbitrario en los sistemas afectados.
La base de datos MITRE Common Weakness Enumeration caracteriza las vulnerabilidades de uso después de la liberación como escenarios en los que la memoria se reutiliza incorrectamente después de ser liberada, lo que podría comprometer el sistema.
AddressSanitizer de Google, una herramienta de detección de errores de memoria, está diseñada específicamente para identificar tales fallas durante las fases de desarrollo, destacando su importancia en la seguridad de los navegadores modernos.
Implicaciones de seguridad para los usuarios
La explotación exitosa de esta vulnerabilidad podría permitir a los atacantes ejecutar código arbitrario con los mismos privilegios que el usuario que inició sesión.
Esto significa que, según el nivel de permiso del usuario, los atacantes podrían potencialmente:
- Instalar programas no autorizados
- Acceder, modificar o eliminar datos confidenciales
- Cree nuevas cuentas con todos los derechos de usuario
- Tome el control total del sistema afectado
La vulnerabilidad afecta a las versiones de Chrome anteriores a 134.0.6998.117/.118 en Windows y Mac y a 134.0.6998.117 en plataformas Linux.
Si bien no se ha confirmado ninguna explotación activa, la calificación crítica de Google subraya la urgencia de que los usuarios actualicen de inmediato.
El 19 de marzo de 2025, Google publicó actualizaciones de seguridad para abordar la vulnerabilidad. El canal estable se actualizó a la versión 134.0.6998.117/.118 para Windows y Mac y 134.0.6998.117 para usuarios de Linux.
El canal estable extendido también se actualizó a la versión 134.0.6998.89 para sistemas Windows y Mac.
Google ha implementado una práctica estándar de restringir la información detallada sobre vulnerabilidades hasta que la mayoría de los usuarios hayan actualizado sus navegadores, proporcionando una ventana de protección crítica para que los usuarios aseguren sus sistemas.
Cómo proteger su sistema
Se recomienda encarecidamente a los usuarios que actualicen sus instalaciones de Chrome inmediatamente de la siguiente manera:
- Abrir Chrome y hacer clic en el menú de tres puntos en la esquina superior derecha
- Navegando a Ayuda > Acerca de Google Chrome
- Permitir que Chrome busque e instale automáticamente la última actualización
- Reiniciando el navegador para completar el proceso de actualización
La actualización se implementará en los próximos días y semanas, pero los usuarios no deben esperar a recibir actualizaciones automáticas y deben verificar manualmente que están ejecutando la última versión, especialmente dada la naturaleza crítica de este problema de seguridad.
