Google ha lanzado una actualización de seguridad de emergencia para corregir la tercera vulnerabilidad Zero-Day de Chrome explotada en ataques desde principios de año. "Google tiene conocimiento de la existencia de un exploit para CVE-2025-5419", advirtió la compañía en un aviso de seguridad publicado el lunes.
Esta vulnerabilidad de alta gravedad se debe a un error de lectura y escritura fuera de los límites en el motor JavaScript V8 de Chrome, reportada hace una semana por Clement Lecigne y Benoît Sevens, del Grupo de Análisis de Amenazas de Google. Google afirma que el problema se mitigó un día después mediante un cambio de configuración que la compañía implementó en el canal estable de todas las plataformas Chrome.
El lunes, también corrigió la vulnerabilidad con el lanzamiento de las versiones 137.0.7151.68/.69 para Windows/Mac y 137.0.7151.68 para Linux, que se implementarán para los usuarios en el canal estable de escritorio en las próximas semanas.
Aunque Google ya ha confirmado que la vulnerabilidad CVE-2025-5419 se está explotando de forma activa, la compañía no compartirá información adicional sobre estos ataques hasta que más usuarios hayan parcheado sus navegadores. "El acceso a los detalles del error y a los enlaces podría mantenerse restringido hasta que la mayoría de los usuarios reciban una actualización con la corrección. También mantendremos las restricciones si el error existe en una biblioteca de terceros de la que dependen otros proyectos, pero que aún no han corregido".
Esta es la tercera vulnerabilidad de día cero de Google en Chrome desde principios de año, con dos más parcheadas en marzo y mayo. La primera, una falla de escape de sandbox de alta gravedad (CVE-2025-2783), descubierta por Boris Larin e Igor Kuznetsov de Kaspersky, se utilizó para desplegar malware en ataques de espionaje dirigidos a organizaciones gubernamentales y medios de comunicación rusos.
La compañía lanzó otro conjunto de actualizaciones de seguridad de emergencia en mayo para parchear una vulnerabilidad Zer-Day de Chrome que podría permitir a los atacantes tomar el control de las cuentas tras una explotación exitosa. El año pasado, Google parcheó 10 vulnerabilidades de día cero que se probaron durante la competición de hacking Pwn2Own o que fueron explotadas en ataques.
Fuente: BC