Google ha lanzado una actualización de seguridad de emergencia para Chrome para abordar una vulnerabilidad crítica que podría permitir a los atacantes bloquear el navegador o ejecutar código arbitrario en los sistemas afectados.
El defecto de alta severidad, designado como CVE-2025-9132, afecta el motor JavaScript V8 de Chrome y fue descubierto por el sistema de detección de vulnerabilidad automatizado de Google, Big Sleep, el 4 de agosto de 2025.
Control de llave
1. La vulnerabilidad de Chrome permite a los atacantes a los navegadores de choque o ejecutar código malicioso a través de páginas web.
2. El motor fuera de los límites en el motor V8 afecta a todas las versiones de Chrome antes de 139.0.7258.138.
3. Parche de emergencia disponible.
Escritura fuera de los límites (CVE-2025-9132)
La vulnerabilidad proviene de una condición de escritura fuera de los límites en el motor JavaScript V8 de Chrome, el componente responsable de ejecutar el código JavaScript en las páginas web.
Este tipo de defecto de corrupción de memoria es peligroso, ya que permite a los atacantes escribir datos más allá de los límites del búfer de memoria asignados, sobrescribiendo las áreas críticas de memoria del sistema.
Las vulnerabilidades de escritura fuera de los límites en los motores JavaScript son especialmente preocupantes porque se pueden activar de forma remota a través del contenido web malicioso.
Cuando se explota con éxito, CVE-2025-9132 podría permitir a los actores de amenaza lograr la ejecución de código remoto (RCE) en máquinas de víctimas, omitir las cajas de arena de seguridad o causar condiciones de denegación de servicio (DOS) al bloquear el proceso del navegador.
La vulnerabilidad afecta las versiones de canales estables de Chrome antes de 139.0.7258.138 para Windows y macOS, y 139.0.7258.138 para sistemas Linux.
El equipo de seguridad de Google ha clasificado esto como un problema de alta severidad, lo que indica un impacto potencial significativo si se deja sin parcharse.
Factores de riesgo Productos afectados por Details: Google Chrome <139.0.7258.138 (Windows/Mac)- Google Chrome <139.0.7258.138 (Linux)- Todas las plataformas que utilizan Chrome V8 JavaScript EngineImpact- Ejecutivo de código remoto Ejecutivo (RCE)- Browser Browser Browser Browsluper de Servicio de servicio Prereresis Victimizados Victimizaciones Visitaciones Visitaciones Visitaciones Visitaciones Malaccias Javasque Sitio web Malaccion Contenido web especialmente elaborado dirigido a V8 Engineseverityhigh
Actualización ahora
Google comenzó a lanzar el parche de seguridad el 19 de agosto de 2025, a través de Chrome versión 139.0.7258.138/.139.
La implementación de actualizaciones sigue el proceso de implementación gradual estándar de Google, llegando a todos los usuarios en los próximos días y semanas para garantizar la estabilidad del sistema.
Los usuarios deben consultar inmediatamente su versión de Chrome navegando a Chrome: // Configuración/Ayuda en la barra de direcciones de su navegador. El navegador verificará automáticamente e instalará actualizaciones disponibles.
Los administradores del sistema en entornos empresariales deben priorizar la implementación de esta actualización a través de sus canales de actualización administrados para evitar una explotación potencial.
Google ha implementado prácticas de divulgación responsables al restringir el acceso a información detallada de vulnerabilidad hasta que la mayoría de los usuarios reciban la solución de seguridad.
Este enfoque evita que los actores maliciosos desarrollen exploits, mientras que los usuarios legítimos siguen siendo vulnerables.
La detección proactiva de Google de esta vulnerabilidad a través de su gran sistema automatizado del sueño muestra el panorama evolutivo de la investigación de vulnerabilidad, donde las herramientas con IA se están volviendo esenciales para identificar problemas complejos de corrupción de la memoria antes de que los actores maliciosos puedan armarselos.
Detonar de forma segura archivos sospechosos para descubrir amenazas, enriquecer sus investigaciones y reducir el tiempo de respuesta de incidentes. Comience con una prueba de Sandbox Anyrun →
