Google ha lanzado una actualización para su navegador Chrome que corrige cuatro vulnerabilidades de seguridad, incluyendo una de día cero. Una vulnerabilidad de día cero se refiere a un error detectado y explotado por ciberdelincuentes antes de que el proveedor tuviera conocimiento de su existencia (tienen «día cero» para corregirlo).
Esta actualización es crucial, ya que aborda una vulnerabilidad que ya se está explotando activamente y que, según se informa , puede aprovecharse al visitar un sitio web malicioso. Probablemente no requiera ninguna interacción adicional por parte del usuario, lo que significa que no necesita hacer clic en ningún elemento para que su sistema se vea comprometido.
La actualización de Chrome lleva el número de versión a 140.0.7339.185/.186 para Windows, Mac y 140.0.7339.185 para Linux.
La forma más fácil de actualizar Chrome es permitir que se actualice automáticamente, pero puedes terminar quedándote atrás si nunca cierras el navegador o si algo sale mal, como una extensión que te impide actualizar el navegador.
Para obtener la actualización manualmente, haz clic en el menú «Más» (tres puntos apilados) y luego selecciona Configuración > Acerca de Chrome . Si hay una actualización disponible, Chrome te lo notificará y comenzará a descargarla. Solo tienes que reiniciar Chrome para que la actualización se complete y estés a salvo de las vulnerabilidades.
Google describe la vulnerabilidad de día cero, identificada como CVE-2025-10585, como una confusión de tipos en la versión 8. Informada por el Grupo de Análisis de Amenazas de Google el 16/09/2025.
A pesar de la brevedad de la declaración (Google nunca revela muchos detalles hasta que todos hayan tenido la oportunidad de actualizar), hay algunas conclusiones que podemos sacar.
Es útil saber que V8 es el motor Javascript de código abierto de Google.
Una vulnerabilidad de «confusión de tipos» ocurre cuando el código no verifica el tipo de objeto que se le pasa y luego lo usa sin verificación de tipos. Por lo tanto, un programa trata erróneamente un tipo de datos como si fuera otro, como confundir una lista con un solo valor o interpretar un número como texto. Esta confusión puede provocar que el software se comporte de forma impredecible, creando oportunidades para que los atacantes accedan, roben datos, bloqueen programas o incluso ejecuten código malicioso.
El Grupo de Análisis de Amenazas (TAG) de Google se centra en el software espía y en los atacantes de estados nacionales que abusan de los días cero con fines de espionaje.
Por lo tanto, es lógico que un atacante haya utilizado Javascript para crear un sitio malicioso que explotó esta vulnerabilidad y atrajo a víctimas específicas a ese sitio web.
TAG reportó el error el 16 de septiembre y Google lanzó el parche un día después. Esto implica que el error era urgente o muy fácil de solucionar, y probablemente ambas afirmaciones sean ciertas hasta cierto punto.
Generalmente, a medida que se conocen más detalles o se aplica ingeniería inversa a un parche, los cibercriminales comenzarán a usar la vulnerabilidad en ataques menos específicos.
También se recomienda a los usuarios de otros navegadores basados en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, que estén atentos a las actualizaciones y las instalen cuando estén disponibles.
Comments are closed