Resumen

Se han identificado múltiples vulnerabilidades de alta y crítica severidad en Google Chrome que afectan a sistemas Windows, macOS y Linux. La explotación exitosa podría permitir a un atacante remoto ejecutar código arbitrario en el equipo de la víctima, evadir mecanismos de seguridad o redirigir al usuario a sitios maliciosos.

Dado el nivel de criticidad y la facilidad de explotación, se recomienda actualizar inmediatamente a la última versión disponible.

Productos afectados

• Google Chrome para Windows: versiones anteriores a 140.0.7339.185/.186
• Google Chrome para macOS: versiones anteriores a 140.0.7339.185/.186
• Google Chrome para Linux: versiones anteriores a 140.0.7339.185

Detalles de las vulnerabilidades

• CVE-2025-10500 – Use-After-Free en Dawn
  • CVSS v3.1: 9.8 (Crítico)
  • Permite ejecución remota de código (RCE).
• CVE-2025-10501 – Use-After-Free en WebRTC
  • CVSS v3.1: 9.8 (Crítico)
  • Permite ejecución remota de código (RCE).
• CVE-2025-10502 – Heap buffer overflow en ANGLE
  • CVSS v3.1: 8.8 (Alta)
  • Permite RCE o evasión de mecanismos de seguridad.

Otras vulnerabilidades menores también fueron corregidas en esta actualización de seguridad.

Impacto

• Ejecución remota de código (RCE) con privilegios del usuario afectado.
• Evasión de mecanismos de seguridad del navegador.
• Redirección de URL hacia sitios maliciosos.

Recomendaciones

• Actualizar inmediatamente Google Chrome a la versión más reciente:
  • Página oficial de descarga de Chrome
• Verificar la versión instalada ingresando en la barra de direcciones:chrome://settings/help
  
• Mantener activadas las actualizaciones automáticas.

Referencias

• CVE-2025-10500 – Tenable
• CVE-2025-10501 – Tenable
• CVE-2025-10502 – Tenable
• CVE-2025-10585 – Tenable
• Chrome Releases – Google Blog

CSIRT UC