El motor V8 puso en riesgo a miles de millones: Google corrige de urgencia una vulnerabilidad valorada en 11.000 dólares.
Fallo lógico crítico permite a hackers tomar el control de la memoria sin que la víctima se dé cuenta.
El equipo de desarrollo de Chrome publicó una nueva versión estable del navegador con el número 143 para los sistemas operativos Windows, macOS y Linux. El despliegue de la versión 143.0.7499.40 comenzó el 2 de diciembre y se realizará de forma gradual durante las próximas semanas.
La actualización incluye numerosas mejoras y además corrige 13 vulnerabilidades en el sistema de seguridad. La mayoría de ellas recibió un nivel de riesgo alto o medio. Algunos problemas fueron detectados por investigadores externos, quienes recibieron recompensas monetarias.
La más grave fue la vulnerabilidad CVE-2025-13630, relacionada con un error en el manejo de tipos en el motor de JavaScript V8. Shreyas Penkar la reportó y recibió 11 000 dólares. En segundo lugar por criticidad estuvo un problema en el sistema de actualizaciones Google Updater: por su detección, el desarrollador Jota Domingos recibió 3 000 dólares. Otra vulnerabilidad grave estuvo relacionada con las herramientas de desarrollo DevTools y fue encontrada por Leandro Teles.
Otra falla de alta gravedad afectó al componente Digital Credentials: se trató de una vulnerabilidad tipo uso después de liberar memoria. Además, se corrigieron vulnerabilidades de gravedad media en los sistemas de descargas y en el módulo Loader, así como una condición de carrera en el motor V8.
Entre los problemas menos críticos hubo fallos en la implementación de Split View, WebRTC, Passwords y Media Stream, además de vulnerabilidades recurrentes en el sistema de descargas. Algunas de ellas también dieron lugar a recompensas para sus autores. Por ejemplo, el investigador con el seudónimo Hafiizh informó sobre varias vulnerabilidades en el área de descargas, una de las cuales fue registrada ya en enero.
En Google señalan que los detalles de las vulnerabilidades pueden mantenerse ocultos hasta que la mayoría de usuarios reciba la actualización. Esto se hace para proteger a otros proyectos que usan las mismas bibliotecas de terceros en las que se encontraron errores.
Los especialistas de la compañía expresaron su agradecimiento a todos los que participaron en la detección de problemas antes del lanzamiento de la versión estable. Muchas vulnerabilidades fueron identificadas con ayuda de herramientas automatizadas, como AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, libFuzzer y otras.
¿Estás cansado de que Internet sepa todo sobre ti?