Zero Day de Google Chrome bajo ataque
El Grupo de Análisis de Amenazas de Google (TAG) ha descubierto y reportado una vulnerabilidad Zero Day de alta importancia en el Motor V8 de Javascript utilizado en Google Chrome, de la cual se conoce que está siendo activamente explotada. Debido a esto, Google ha lanzado una actualización que también corrige otras vulnerabilidades, igualmente de alta importancia, encontradas por diferentes investigadores.
CVE-2025-10585
El TAG reportó una vulnerabilidad Zero Day de alta importancia, del tipo “Type Confusion”, que consiste en que un programa reserva o inicializa un recurso, sea un puntero, objeto o variable, pero después intenta acceder al mismo utilizando otro tipo que es incompatible con el original. Esto puede derivar en errores de lógica porque el recurso no cuenta con las propiedades esperadas, asimismo puede permitir acceso a recursos fuera de los límites establecidos en la memoria y llevar a la ejecución de código arbitrario.
Para explotar esta vulnerabilidad solo se necesita crear código JavaScript especialmente diseñado, no requiere interacción del usuario más allá de cargar un sitio web comprometido y se conoce que ya está siendo explotada activamente, lo que la convierte en un problema grave para las organizaciones.
CVE-2025-10500
Un investigador independiente encontró una vulnerabilidad de alta importancia, del tipo “use-after-free” en DawnWebGPU, el componente de procesamiento gráfico (y una implementación propia de Google del estándar WebGPU) utilizado por el proyecto Chromium, la base de Google Chrome. Aunque tampoco se ha hecho pública mucha información las vulnerabilidades de este tipo pueden llevar a la corrupción de información, crasheos e incluso ejecución de código arbitrario, dado que el programa continúa utilizando memoria después de que ésta ha sido liberada.
CVE-2025-10501
Similar al caso anterior, otro investigador independiente encontró una vulnerabilidad de alta importancia, del tipo “use-after-free”, ahora en el componente WebRTC. Aunque no es otra vulnerabilidad día cero, puede representar un riesgo para las organizaciones.
CVE-2025-10502
Esta vulnerabilidad de alta importancia, descubierta por el sistema automatizado, Big Sleep, de Google, afecta al componente ANGLE o Capa de Abstracción Gráfica Casi Nativa, desarrollada y utilizada por Google. El tipo de vulnerabilidad, “heap-based buffer overflow”, hace referencia a un desbordamiento en una porción de la memoria, lo cual implica la posibilidad de crasheos y ejecución de código o comandos no autorizados, además sobrepasando medidas de seguridad al parecer acciones legítimas.
Es importante recalcar que usuarios que utilicen Microsoft Edge u otros navegadores derivados de Chromium, proyecto de código abierto en el que se basa Google Chrome, también deben anticipar parches de seguridad en el futuro próximo, pues hasta el momento se desconoce si la vulnerabilidad pudiese afectar proyectos derivados de Chromium.
Google aún no ha hecho pública la información completa, buscando prevenir que esto ayude a que actores de amenaza exploten esta Zero Day, en especial porque es posible que la misma también afecte a librerías de terceros y otros proyectos, y para dar tiempo a los usuarios y organizaciones para aplicar la corrección.
Versiones Afectadas
|
Productos |
Versiones afectadas |
Versiones corregidas |
|
Google Chrome para Windows y Mac |
Versiones anteriores a 140.0.7339.185/.186 |
140.0.7339.185/.186 |
|
Google Chrome para Linux |
Versiones anteriores a 140.0.7339.185 |
140.0.7339.185 |
Recomendaciones
-
Se recomienda, de forma urgente, actualizar a la última versión con las correcciones, ya que una de las vulnerabilidades está siendo activamente explotada.
-
Prestar atención a la disponibilidad de actualizaciones en otros navegadores basados en Chromium, tales como Microsoft Edge, Opera, Vivaldi, etc., pues también podrían verse afectados.
-
Prestar atención a avisos de seguridad y actualizaciones en librerías y otros proyectos que utilicen partes o que estén basado en Chromium.
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- Divya. (2025, Septiembre 18). Google chrome 0-day under active attack – update immediately. GBHackers Security. Recuperado el 19 de Septiembre del 2025, en: https://gbhackers.com/google-chrome-0-day-2/
- Khaitan, A. (2025, Septiembre 18). Chrome exploit cve-2025-10585: Urgent google update. The Cyber Express. Recuperado el 19 de Septiembre del 2025, en: https://thecyberexpress.com/chrome-exploit-cve-2025-10585/
- Lakshmanan, R. (2025, Septiembre 18). Google patches chrome zero-day cve-2025-10585 as active v8 exploit threatens millions. The Hacker News. Recuperado el 19 de Septiembre del 2025, en: https://thehackernews.com/2025/09/google-patches-chrome-zero-day-cve-2025.html
- Google Chrome. (2025, Septiembre 17). Stable Channel Update for Desktop. Chrome Releases. Recuperado el 19 de Septiembre del 2025, en: https://chromereleases.googleblog.com/2025/09/stable-channel-update-for-desktop_17.html
