Google Chrome ha publicado una actualización de seguridad crítica que aborda seis vulnerabilidades que podrían habilitar la ejecución de código arbitraria en los sistemas afectados.
La actualización del canal estable a la versión 139.0.7258.127/.128 para Windows y Mac, y 139.0.7258.127 para Linux, contiene parches para múltiples defectos de seguridad de alta severidad que plantean riesgos significativos para los datos del usuario y la integridad del sistema.
Control de llave
1. Chrome corrige seis vulnerabilidades, incluidas tres que permiten la ejecución del código.
2. Afecta el motor y los gráficos V8: permite la ejecución del código malicioso.
3. Actualizar Chrome ahora a través de Configuración> Acerca de Chrome.
Vulnerabilidades de alta severidad abordadas
La actualización de seguridad se dirige a tres vulnerabilidades de alta severidad que podrían conducir a la ejecución de código arbitraria.
CVE-2025-8879 representa una vulnerabilidad de desbordamiento del búfer de montón en la Biblioteca Libaom, que maneja las operaciones de codificación y decodificación de video.
Este tipo de vulnerabilidad permite a los atacantes escribir datos más allá de los límites de memoria asignados, sobrescribiendo la información crítica del sistema.
CVE-2025-8880 aborda una condición de carrera en el motor JavaScript V8 de Google, informado por el investigador de seguridad Seunghyun Lee.
Las condiciones de carrera se producen cuando múltiples procesos intentan acceder a recursos compartidos simultáneamente, creando un comportamiento impredecible que los atacantes pueden explotar.
El tercer defecto de alta severidad, CVE-2025-8901, implica una vulnerabilidad de escritura fuera de los límites en el ángulo (motor de capa gráfica casi nativa), que traduce las llamadas API OpenGL ES a las API respaldadas por el hardware.
El equipo de seguridad de Chrome utilizó múltiples metodologías de detección avanzada para identificar estas vulnerabilidades, incluido direcciones de la atención para detectar errores de corrupción de memoria, memoria de memoria para lecturas de memoria no inicializada y no definir el manualizante para la captura de comportamiento indefinido en el código C/C ++.
La actualización también incorpora mecanismos de integridad de flujo de control y hallazgos de los marcos de prueba Libfuzzer y AFL (American Fuzzy LOP).
Vulnerabilidades de gravedad media abordadas
Las vulnerabilidades adicionales de la severidad media también se parcharon, incluida la CVE-2025-8881, que aborda la implementación inapropiada en el componente del selector de archivos y CVE-2025-8882, una vulnerabilidad sin uso en el sistema de ventanas Aura.
Las vulnerabilidades gratuitas de uso se producen cuando los programas continúan usando la memoria después de haber sido liberada, lo que lleva a posibles oportunidades de ejecución del código.
CVE IDTitleSeverityCVE-2025-8879Heap buffer overflow in libaomHighCVE-2025-8880Race in V8HighCVE-2025-8901Out of bounds write in ANGLEHighCVE-2025-8881Inappropriate implementation in File PickerMediumCVE-2025-8882Use after free in AuraMedium
Mitigaciones
Estas vulnerabilidades presentan colectivamente serios riesgos de seguridad, ya que los búfer de montón se desborda y las condiciones de carrera en los componentes del navegador central pueden explotarse para ejecutar código malicioso con privilegios del navegador.
El despliegue automático ocurrirá en los próximos días y semanas, pero los usuarios deben actualizar manualmente Chrome a través de la configuración> sobre Chrome.
Los administradores del sistema deben priorizar esta implementación de actualizaciones, particularmente en entornos empresariales donde los navegadores procesan datos confidenciales.
La colaboración del equipo de Chrome con investigadores de seguridad externos, incluidos los contribuyentes anónimos y el Big Sleep Project de Google, demuestra el esfuerzo continuo para identificar y remediar vulnerabilidades de seguridad antes de alcanzar los canales de liberación estables.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
