Ejecución remota de código y robo de datos: por qué Chrome 141 no es una actualización cualquiera, sino un parche de emergencia
25.000 dólares por una vulnerabilidad en Chrome: ¿es ese el precio de tu seguridad?
Se lanzó una actualización estable del navegador Chrome — el equipo de Google confirmó el paso de la versión 141 al canal estable para Windows, macOS y Linux. La distribución de la actualización se efectuará de forma gradual durante las próximas semanas. En la nueva compilación se corrigieron errores, se mejoró el rendimiento y se implementaron una serie de cambios internos sobre los que los desarrolladores prometen informar en publicaciones separadas.
El principal énfasis se puso en la seguridad. En la versión 141.0.7390.54/55 se cerraron 21 vulnerabilidades, parte de las cuales fueron descubiertas por investigadores externos. Las correcciones más graves están relacionadas con errores de desbordamiento de búfer en WebGPU y en el módulo de procesamiento de vídeo. El fallo identificado como CVE-2025-11205 en WebGPU permitía un manejo incorrecto de la memoria, lo que podría haberse utilizado para ejecutar código arbitrario. Este problema lo descubrió Atte Kettunen del grupo finlandés OUSPG; por el hallazgo recibió una recompensa de 25 000 dólares. Otra vulnerabilidad, CVE-2025-11206, relacionada con desbordamiento de búfer en el módulo de vídeo, fue reportada por el especialista Elias Hol; la recompensaron con 4 000 dólares.
Se asignó un nivel de gravedad medio a una serie de problemas. Por ejemplo, el investigador Alejandro Ortiz detectó una filtración de información por canales laterales en el subsistema de almacenamiento de datos — CVE-2025-11207, por lo que recibió 5 000 dólares. En el módulo Media se corrigieron varias implementaciones erróneas, incluidas CVE-2025-11208 y CVE-2025-11212. Hafiizh informó dos veces sobre el funcionamiento incorrecto de Omnibox; se cerraron los fallos CVE-2025-11209 y CVE-2025-11213. Otros investigadores también contribuyeron a mejorar la seguridad.
Se prestó especial atención a las vulnerabilidades en el motor JavaScript V8: se corrigieron CVE-2025-11215 (error "off by one") y CVE-2025-11219 (use-after-free). Ambos problemas fueron encontrados por el equipo interno de Google Big Sleep.
Los desarrolladores señalan que muchas otras fallas fueron detectadas gracias a auditorías internas y a herramientas de prueba automatizadas, incluidas AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer y AFL. La empresa subraya: los detalles sobre las vulnerabilidades se publican con retraso para dar tiempo a actualizar a la mayoría de los usuarios y evitar la posibilidad de explotación antes de que salgan las correcciones.
No esperes a que los hackers te ataquen: ¡suscríbete a nuestro canal y conviértete en una fortaleza impenetrable!