Google Chrome ha lanzado la versión estable 138.0.7204.49, una actualización de seguridad crucial disponible desde el martes 24 de junio de 2025. Esta versión aborda 11 vulnerabilidades significativas, las cuales podrían ser explotadas para ejecutar código malicioso en los sistemas de los usuarios.
Esta actualización es un paso importante en el fortalecimiento de las defensas del navegador contra ciberamenazas complejas. El parche integral mitiga diversos vectores de ataque, incluyendo vulnerabilidades de «uso después de la liberación», deficiencias en la implementación de políticas y problemas de validación de datos. Estas debilidades podrían ser aprovechadas por actores malintencionados para comprometer la seguridad de los sistemas de los usuarios.
CVE-2025-6555: Uso de la vulnerabilidad After Free en el componente de animación
CVE-2025-6555 representa la vulnerabilidad más crítica abordada en esta actualización, clasificada como de gravedad media con una recompensa sustancial de $4000.
Esta vulnerabilidad de uso después de la liberación ocurre en el componente Animación de Chrome, un sistema crítico responsable de manejar animaciones CSS, animaciones basadas en JavaScript y otros efectos visuales dinámicos dentro de las páginas web.
Las vulnerabilidades de uso después de la liberación son particularmente peligrosas porque ocurren cuando un programa continúa usando un puntero de memoria después de que la memoria a la que apunta haya sido liberada o desasignada.
El descubrimiento realizado por la investigadora de seguridad Lyra Rebane el 30 de marzo de 2025 destaca la necesidad continua de una auditoría rigurosa de la gestión de la memoria en componentes complejos del navegador.
CVE-2025-6556: Aplicación de políticas insuficiente en el componente del cargador
CVE-2025-6556 aborda una vulnerabilidad de baja gravedad que implica una aplicación insuficiente de políticas dentro del componente Loader de Chrome, lo que le valió al investigador Shaheen Fazim una recompensa de $1000 por el descubrimiento.
Esta vulnerabilidad se debe a una validación y aplicación inadecuadas de las políticas de seguridad que rigen cómo se cargan y procesan estos recursos.
CVE-2025-6557: Validación de datos insuficiente en DevTools
CVE-2025-6557 representa una vulnerabilidad de baja gravedad que afecta al componente DevTools de Chrome, descubierta por el investigador de seguridad Ameen Basha M K y premiada con una recompensa de 1.000 dólares.
Los atacantes pueden crear scripts de depuración maliciosos o manipular estructuras de datos para explotar esta vulnerabilidad, accediendo potencialmente a información confidencial sobre la sesión de navegación del usuario o el entorno de desarrollo local.
La infraestructura de seguridad interna de Chrome emplea herramientas de detección avanzadas, incluidas AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer y AFL, para identificar posibles vulnerabilidades durante el desarrollo.
Estos sistemas automatizados trabajan continuamente para detectar problemas de corrupción de memoria, comportamientos indefinidos y otros errores relevantes para la seguridad antes de que lleguen a las versiones de producción.
La actualización se implementará gradualmente en las plataformas Windows, Mac y Linux durante los próximos días y semanas, y el canal estable extendido también recibirá la versión 138.0.7204.50.
Para actualizar Chrome, haga clic en «Acerca de Chrome» o escriba chrome://settings/help, haga clic en «Actualizar» cuando aparezca Chrome 138.0.7204.49 y luego reinicie el navegador.
Se recomienda encarecidamente a los usuarios que habiliten las actualizaciones automáticas para garantizar una protección oportuna contra estas vulnerabilidades recién parcheadas.
