Correcciones de vulnerabilidades críticas en Google Chrome

Descripción

Google ha lanzado actualizaciones de seguridad para corregir dos vulnerabilidades de alta severidad en Google Chrome, identificadas como CVE-2025-5063 y CVE-2025-5280. Estas fallas podrían permitir a atacantes remotos ejecutar código arbitrario (RCE), explotar corrupción de memoria o eludir restricciones de seguridad, comprometiendo la integridad del sistema y la privacidad de los usuarios .

Detalles técnicos

1. CVE-2025-5063
   • Tipo: Use-after-free en el componente Compositing.
   • Impacto: Corrupción de memoria (heap corruption) mediante páginas HTML maliciosas, permitiendo RCE o elevación de privilegios.
   • Gravedad (Chromium): Alta .
2. CVE-2025-5280
   • Tipo: Escritura fuera de límites (Out-of-bounds write) en el motor V8 JavaScript.
   • Impacto: Heap corruption remoto, potencialmente explotable para ejecución de código o denegación de servicio (DoS).
   • Gravedad (Chromium): Alta .

Versiones afectadas y parches

• Versiones vulnerables: Chrome anteriores a 137.0.7151.55 (Windows, macOS, Linux)
• Versiones corregidas: 137.0.7151.55 (estable) para todas las plataformas .

Recomendaciones del CSIRT-UC

1. Actualización inmediata:
   • Verifique su versión en chrome://settings/help y actualice a 137.0.7151.55 o superior.
   • En entornos empresariales, implemente políticas de actualización automática.
2. Mitigación temporal:
   • Restrinja el acceso a sitios no confiables y deshabilite la ejecución de scripts innecesarios.
3. Monitoreo post-actualización:
   • Revise registros de seguridad para detectar intentos de explotación (ej: solicitudes a páginas HTML sospechosas) .

Fuentes oficiales

• NVD - CVE-2025-5280
• HKCERT - Chrome Vulnerabilities

Equipo CSIRT-UC