CISA ha emitido una alerta crítica con respecto a una vulnerabilidad de día cero en el motor JavaScript V8 de Google Chrome, la cual está siendo explotada activamente por ciberdelincuentes. Esta explotación permite la ejecución de código arbitrario en los sistemas afectados.
El 5 de junio de 2025, la vulnerabilidad, identificada como CVE-2025-5419, fue añadida por CISA a su catálogo de vulnerabilidades explotadas conocidas (KEV), confirmando su aprovechamiento en ataques reales. Las versiones de Google Chrome anteriores a la 137.0.7151.68 son las afectadas, lo que representa un riesgo considerable para millones de usuarios a nivel global.
La falla se origina en una debilidad de lectura y escritura fuera de límites dentro del motor V8 de Chrome (JavaScript y WebAssembly). Esto posibilita que atacantes remotos, mediante el uso de páginas HTML especialmente diseñadas, puedan explotar la corrupción de la memoria dinámica (heap).
Los investigadores de seguridad del Grupo de Análisis de Amenazas de Google, Clement Lecigne y Benoît Sevens, descubrieron e informaron sobre la vulnerabilidad el 27 de mayo de 2025.
«La lectura y escritura fuera de límites en V8 en Google Chrome antes de 137.0.7151.68 permitía a un atacante remoto explotar potencialmente la corrupción del montón a través de una página HTML diseñada», según la Base de datos nacional de vulnerabilidad. La vulnerabilidad tiene una puntuación CVSS de 8,8, lo que la clasifica como de alta gravedad.
Google respondió rápidamente a la amenaza, implementando una mitigación inicial a través de un cambio de configuración implementado en todas las plataformas Chrome el 28 de mayo de 2025. Posteriormente, la compañía lanzó actualizaciones de seguridad de emergencia el 3 de junio de 2025, parcheando la vulnerabilidad en las versiones de Chrome 137.0.7151.68/.69 para Windows y Mac, y 137.0.7151.68 para Linux.
«Google es consciente de que existe un exploit para CVE-2025-5419», reconoció la compañía en su aviso de seguridad, aunque los detalles específicos sobre los ataques permanecen restringidos hasta que más usuarios instalen la solución.
Esta vulnerabilidad afecta a varios navegadores web que utilizan el motor Chromium, incluidos Google Chrome, Microsoft Edge, Opera, Brave y Vivaldi. Las operaciones de memoria fuera de los límites podrían permitir a los atacantes manipular la memoria de formas no deseadas, lo que podría provocar la ejecución de código arbitrario o fugas del entorno de pruebas del navegador.
La Directiva Operativa Vinculante de CISA exige que las agencias del Poder Ejecutivo Civil Federal remedien la vulnerabilidad de inmediato para proteger contra amenazas activas.
CISA insta encarecidamente a todas las organizaciones y usuarios individuales a priorizar la actualización de sus navegadores como parte de las prácticas esenciales de gestión de vulnerabilidades.
Los usuarios deben actualizar Chrome inmediatamente navegando al menú del navegador, seleccionando «Ayuda», luego «Acerca de Google Chrome» y permitiendo que se complete la actualización automática.
Esto representa la tercera vulnerabilidad de día cero de Chrome explotada activamente y descubierta en 2025, lo que pone de relieve el panorama de amenazas persistentes dirigidas a los navegadores web.
