Google ha publicado una actualización de seguridad urgente para Chrome debido al descubrimiento de varias vulnerabilidades de alta gravedad. Estas fallas podrían permitir a atacantes ejecutar código malicioso de forma remota en los sistemas de los usuarios.
El miércoles 21 de mayo de 2025, Google lanzó una actualización estable temprana para abordar ocho vulnerabilidades de seguridad en el navegador Chrome.
La actualización se implementó inicialmente para un pequeño porcentaje de usuarios como parte de la estrategia de implementación gradual de Google, pero dada la gravedad de las fallas, los expertos en seguridad recomiendan que todos los usuarios actualicen de inmediato.
El problema más crítico, CVE-2025-5063, es una vulnerabilidad de “Uso después de la liberación” en el sistema de composición, que maneja cómo Chrome representa elementos visuales en páginas web.
El equipo de seguridad de Google asignó al problema una calificación de gravedad «alta», lo que indica su potencial de causar daños significativos si se explota.
Esta vulnerabilidad podría permitir a los atacantes ejecutar código malicioso de forma remota engañando a los usuarios para que visiten sitios web especialmente diseñados.
Las vulnerabilidades de uso después de la liberación son particularmente peligrosas porque implican la manipulación de la memoria una vez liberada, lo que potencialmente permite a los atacantes ejecutar código arbitrario.
El impulso de Google de una versión estable anticipada indica la urgencia de este parche de seguridad, ya que la empresa normalmente reserva este tipo de acciones para problemas de seguridad críticos que pueden explotarse activamente.
Las vulnerabilidades adicionales corregidas en esta actualización incluyen:
CVE-2025-5064: Maurice Dauer informó sobre una implementación inapropiada de gravedad media en Background Fetch, lo que permitía a los atacantes eludir los controles de seguridad para descargas en segundo plano. Esta falla podría permitir que actores maliciosos manipulen los procesos de descarga o abusen de las API del navegador, poniendo en riesgo la integridad de los datos. Google otorgó una recompensa de 4.000 dólares por este problema informado.
CVE-2025-5065: esta falla de gravedad media en la API FileSystemAccess se debió a controles de permisos inadecuados, reportada por NDevTK en 2022, lo que le valió una recompensa de $2000. Explotarlo podría permitir que sitios web maliciosos accedan o modifiquen archivos locales sin el consentimiento del usuario.
CVE-2025-5066: descubierto por Mohit Raj (shadow2639), este problema de gravedad media en el componente Mensajes de Chrome implicaba una aplicación de políticas defectuosa. Podría permitir a los atacantes interceptar o manipular las comunicaciones entre el navegador y el usuario, lo que podría provocar fugas de datos. Se emitió una recompensa de 1000 dólares por esta vulnerabilidad reportada en 2024.
CVE-2025-5067: Una implementación inapropiada de baja gravedad en la interfaz de usuario de Tab Strip, informada por Khalil Zhani en 2023, corría el riesgo de sufrir ataques de phishing mediante suplantación de pestañas.
Aunque menos crítico, destacó vulnerabilidades a nivel de interfaz de usuario que podrían engañar a los usuarios. Google otorgó 500 dólares por este hallazgo.
El boletín de seguridad señaló que “el acceso a los detalles de los errores y a los enlaces puede mantenerse restringido hasta que la mayoría de los usuarios se actualicen con una solución”, lo que sugiere que Google está tomando precauciones para evitar la explotación generalizada de estas vulnerabilidades.
Actualizar Chrome es un proceso sencillo que brinda protección inmediata contra estas amenazas de seguridad. Para actualizar Chrome:
Haga clic en el menú de tres puntos en la esquina superior derecha de Chrome.
- Vaya a Ayuda > Acerca de Google Chrome.
- Chrome buscará e instalará automáticamente las actualizaciones disponibles.
- Verifique que su versión de Chrome sea 137.0.7151.40 o 137.0.7151.41 (para Windows y Mac).
- Reinicie el navegador para completar el proceso de actualización.
Los expertos en seguridad recomiendan habilitar actualizaciones automáticas para los navegadores y todo el software para garantizar una protección oportuna contra vulnerabilidades recién descubiertas.
Además, se recomienda a los usuarios que ejerzan precaución al navegar por sitios web desconocidos y que se abstengan de hacer clic en enlaces sospechosos o de descargar archivos de fuentes no fiables.
El equipo de seguridad de Google, junto con los investigadores externos que reportaron estas vulnerabilidades a través del Programa de Recompensas por Vulnerabilidades de Chrome, continúan monitoreando posibles amenazas.
