La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha emitido una alerta urgente sobre una vulnerabilidad crítica Zero-day en el motor JavaScript V8 de Google Chrome, identificada como CVE-2025-5419. Esta falla está siendo activamente explotada por ciberdelincuentes para ejecutar código arbitrario en los sistemas de las víctimas.
Detalles técnicos
- Tipo de vulnerabilidad: Lectura y escritura fuera de límites (out-of-bounds) en el motor V8 de JavaScript y WebAssembly de Chrome.
- Impacto: Permite a atacantes remotos ejecutar código malicioso mediante páginas HTML especialmente diseñadas, lo que puede llevar a la corrupción de memoria y potencialmente al control total del sistema afectado.
- Navegadores afectados: Todos los basados en Chromium, incluyendo Google Chrome, Microsoft Edge, Opera, Brave y Vivaldi.
- Estado de explotación: Confirmado como activamente explotado en entornos reales.
Medidas tomadas
- Google: Lanzó una actualización de emergencia para Chrome el 3 de junio de 2025, abordando la vulnerabilidad en las versiones 137.0.7151.68/.69 para Windows y macOS, y 137.0.7151.68 para Linux.
- CISA: Incluyó la vulnerabilidad en su Catálogo de Vulnerabilidades Conocidas y Explotadas (KEV) el 6 de junio de 2025, exigiendo a las agencias federales aplicar los parches correspondientes de inmediato.
Recomendaciones de seguridad
- Actualizar navegadores: Asegúrate de que Google Chrome y otros navegadores basados en Chromium estén actualizados a las versiones más recientes.
- Verificar versiones: En Chrome, ve a “Configuración” > “Acerca de Chrome” para comprobar y aplicar actualizaciones disponibles.
- Monitoreo de seguridad: Implementa herramientas de análisis de comportamiento para detectar intentos de explotación relacionados con el motor V8.
- Capacitación: Educa a los usuarios sobre los riesgos de visitar sitios web desconocidos o sospechosos.
