Google ha liberado una actualización de seguridad esencial para Chrome versión 135, aplicable a todos los sistemas operativos de escritorio. Esta actualización corrige catorce vulnerabilidades, incluyendo fallos de alta gravedad que podrían permitir la ejecución de código malicioso de forma remota.
La versión estable actualizada (135.0.7049.52 para Linux y 135.0.7049.41/42 para Windows/macOS) incluye parches urgentes para múltiples problemas de corrupción de memoria y errores de implementación que han sido explotados activamente.
Vulnerabilidad de alta gravedad
La vulnerabilidad más grave (CVE-2025-3066) implica una falla de uso después de la liberación en los procesos de navegación que podría permitir a los atacantes ejecutar código arbitrario a través de páginas web diseñadas.
Reportado por Sven Dysthe a través del Programa de Recompensa de Vulnerabilidad de Chrome, este defecto de corrupción de memoria tiene una calificación de gravedad «Alta».
Vulnerabilidades de riesgo medio
Cinco correcciones de gravedad media abordan fallas de implementación en componentes clave:
- Vulnerabilidad de pestañas personalizadas (CVE-2025-3067) que permite la escalada de privilegios (recompensa de $10,000).
- Omisión del controlador de intenciones (CVE-2025-3068) que permite acciones no autorizadas (recompensa de $2000).
- Fallos en el sistema de extensión (CVE-2025-3069/3070) que permiten la inyección de carga útil maliciosa.
En particular, un informe de vulnerabilidad de extensión se remonta a 2017 y revela problemas arquitectónicos de larga data en el modelo de permisos de Chrome.
Vulnerabilidades de baja gravedad
La actualización resuelve cuatro problemas de implementación de menor riesgo:
- Manejo de navegación (CVE-2025-3071)
- Validación de pestañas personalizadas (CVE-2025-3072)
- Protecciones de autocompletar (CVE-2025-3073)
- Descargar protecciones (CVE-2025-3074)
Los investigadores externos reclamaron 17.000 dólares en recompensas por identificar vulnerabilidades, y el investigador de TU Wien, Philipp Beer, recibió el pago individual más alto. El parche también incluye correcciones de los equipos de seguridad internos de Google que utilizan medidas de refuerzo avanzadas:
Actualizar recomendaciones
- Los usuarios de Chrome deben inmediatamente:
- Navega a chrome://configuración/ayuda
- Permitir la instalación automática de actualizaciones
- Reinicia el navegador
Los administradores empresariales pueden forzar actualizaciones a través de políticas de grupo (versión 135.0.7049.52+). Google ha restringido las divulgaciones técnicas detalladas hasta que la mayoría de los usuarios actualicen, siguiendo prácticas estándar coordinadas de divulgación de vulnerabilidades.
Esta actualización destaca los continuos desafíos de seguridad de Chrome a pesar de las enormes inversiones en sandboxing y aislamiento de procesos. La inclusión de vulnerabilidades reportadas ya en 2017 sugiere que persisten algunas limitaciones arquitectónicas en el código base de 16 años del navegador.
