Google corrige fallo crítico en Chrome explotado activamente

Google ha publicado una nueva actualización de seguridad para su navegador Chrome con el objetivo de corregir tres vulnerabilidades, entre ellas una de alta gravedad que ya está siendo explotada activamente en la naturaleza. Este lanzamiento subraya nuevamente el creciente nivel de sofisticación de los ataques dirigidos a navegadores modernos y la necesidad urgente de mantener los sistemas completamente actualizados.

La vulnerabilidad principal está rastreada bajo el ID de seguimiento interno de Chromium 466192044. A diferencia de otras ocasiones, Google ha optado por mantener en secreto el identificador CVE correspondiente, así como la descripción técnica del fallo y el componente afectado. Esta estrategia es relativamente común cuando se confirma que una brecha está siendo aprovechada en ataques reales, ya que publicar información prematura podría ayudar a otros actores maliciosos a desarrollar exploits adicionales.

Una vulnerabilidad en ANGLE: el origen del problema

Pese al silencio inicial, un commit público en GitHub reveló que el error tiene su origen en ANGLE (Almost Native Graphics Layer Engine), una biblioteca de código abierto creada por Google para mejorar la compatibilidad gráfica entre diferentes plataformas. ANGLE actúa como una capa de traducción que permite que Chrome y otras aplicaciones utilicen APIs gráficas como Direct3D, OpenGL, Vulkan o Metal, dependiendo del sistema operativo.

CitarEl mensaje dentro del commit señalaba lo siguiente:

"Metal: No uses pixelsDepthPitch para dimensionar búferes. pixelsDepthPitch se basa en GL_UNPACK_IMAGE_HEIGHT, que puede ser menor que la altura real de la imagen."

Esta observación técnica sugiere que el error podría tratarse de un desbordamiento de búfer en el renderizador Metal de ANGLE generado por un cálculo incorrecto del tamaño del búfer. Este tipo de vulnerabilidades son especialmente peligrosas, ya que pueden conducir a corrupción de memoria, fallos inesperados o incluso ejecución arbitraria de código, dependiendo de cómo se manipulen los datos en memoria.

Google confirmó oficialmente que existe un exploit operativo para esta vulnerabilidad y que está siendo utilizado en ataques dirigidos. Sin embargo, la compañía no proporcionó detalles adicionales sobre el tipo de amenaza, la procedencia del actor responsable o los objetivos seleccionados. Esta reserva se mantiene estratégicamente para garantizar que la mayor cantidad de usuarios aplique el parche antes de que la información técnica sea divulgada públicamente.

Ocho zero-day en Chrome en lo que va del año

Con este parche, Google ya suma ocho vulnerabilidades zero-day en Chrome que han sido explotadas activamente o demostradas como pruebas de concepto (PoC) desde inicios de 2025. La lista incluye:

• CVE-2025-2783
• CVE-2025-4664
• CVE-2025-5419
• CVE-2025-6554
• CVE-2025-6558
• CVE-2025-10585
• CVE-2025-13223

Esto evidencia que Chrome continúa siendo uno de los objetivos favoritos para atacantes, tanto por su amplio uso global como por la complejidad inherente a un navegador moderno que integra múltiples motores gráficos, motores de scripting y procesos aislados.

Además de la vulnerabilidad crítica, Google también corrigió dos fallos catalogados como de gravedad media:

• CVE-2025-14372 – Uso de memoria después de liberarla (use-after-free) en el gestor de contraseñas.
• CVE-2025-14373 – Implementación inapropiada en la barra de herramientas.

Aunque no se consideran tan graves como un desbordamiento de búfer explotado activamente, ambos errores pueden presentar riesgos significativos si se combinan con otras técnicas de ataque.

Actualiza Chrome cuanto antes

Google recomienda a todos los usuarios actualizar su navegador a las versiones más recientes:

• Windows y macOS: 143.0.7499.109/.110
• Linux: 143.0.7499.109

Para verificar que la actualización esté instalada, solo debes acceder a:

Menú > Ayuda > Acerca de Google Chrome > Reiniciar

Estas versiones incluyen los parches necesarios para mitigar la vulnerabilidad explotada activamente y otras fallas descubiertas durante el ciclo de desarrollo.

También deben actualizar los usuarios de Edge, Brave, Opera y Vivaldi

Dado que todos estos navegadores se basan en Chromium, también dependen del motor subyacente que incluye ANGLE. Por tanto, es fundamental que sus desarrolladores integren los parches cuanto antes y que los usuarios apliquen las actualizaciones tan pronto estén disponibles.

Un recordatorio de la importancia de actualizar siempre

Las vulnerabilidades zero-day representan algunas de las amenazas más críticas en el panorama actual. El caso de Chrome y la vulnerabilidad 466192044 vuelve a demostrar la importancia de:

• Mantener el navegador actualizado a la última versión.
• Aplicar parches de seguridad de forma inmediata.
• Ser conscientes de que incluso componentes de código abierto altamente probados, como ANGLE, pueden convertirse en vectores de ataque.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login