Otro 0Day. Un sitio cualquiera. Nada sospechoso. Y adiós, Google Chrome.
Mientras lees esto, alguien ya está siendo hackeado a través del nuevo agujero en Chrome.
Google lanzó una actualización de emergencia para el navegador Chrome, corrigiendo tres vulnerabilidades, una de las cuales ya está siendo explotada por atacantes. La más crítica es la CVE-2025-5419 (puntuación CVSS: 8.8), relacionada con un manejo incorrecto de memoria en el motor V8, responsable de ejecutar JavaScript y WebAssembly.
Según la descripción de la vulnerabilidad en NVD, el fallo permite a un atacante remoto provocar corrupción del heap mediante una página HTML especialmente diseñada. Se trata de una lectura y escritura fuera de los límites válidos de la memoria, lo que abre la posibilidad de ejecutar código arbitrario en el dispositivo de la víctima.
La vulnerabilidad fue descubierta y documentada el 27 de mayo de 2025 por especialistas del equipo Google TAG. Al día siguiente, Google ya había integrado la corrección en la versión estable del navegador para todas las plataformas compatibles.
Como es habitual, la empresa no revela detalles de los ataques ni identifica grupos o individuos responsables, con el fin de evitar una propagación masiva del exploit antes de que los usuarios actualicen sus navegadores. No obstante, la existencia de actividad real en torno a CVE-2025-5419 ha sido confirmada: en el comunicado de Google se destaca que el exploit ya está siendo utilizado en ataques reales.
Esta es la segunda vulnerabilidad cero día activamente explotada en entornos reales que Google corrige en 2025. La primera, CVE-2025-2783, fue eliminada previamente tras ser detectada en ataques por expertos de Kaspersky Lab. Ambas vulnerabilidades representan una amenaza seria y pueden ser usadas para infiltrarse discretamente en sistemas a través de páginas web comunes.
Se recomienda encarecidamente a los usuarios actualizar Chrome a la versión 137.0.7151.68 o .69 en Windows y macOS, así como a la 137.0.7151.68 en Linux. Lo mismo aplica para otros navegadores basados en Chromium — Microsoft Edge, Brave, Opera y Vivaldi. Los desarrolladores también deben integrar los parches de seguridad tan pronto como estén disponibles.