Google ha lanzado una actualización de emergencia para su navegador Chrome que no puede esperar. La compañía ha confirmado la existencia de una nueva vulnerabilidad Zero-Day que está siendo explotada activamente por ciberdelincuentes.
Esto significa que el código para atacar este fallo no es teórico; está en manos de atacantes que lo están utilizando ahora mismo para comprometer ordenadores alrededor del mundo.
El Parche: Versión 142.0.
Google ha lanzado la versión estable 142.0. xxxx.xx para Windows, Mac y Linux para cerrar estos agujeros de seguridad. Esta actualización corrige un total de 9 vulnerabilidades, siendo la más peligrosa una “Confusión de Tipos” en el motor V8.
Lista Técnica de Vulnerabilidades
A continuación, presentamos el desglose de los 9 fallos de seguridad solucionados en esta actualización. Si eres administrador de sistemas, presta especial atención al primero de la lista.
| CVE ID | Componente Afectado | Tipo de Fallo | Severidad |
| CVE-2025-9601 | Motor V8 | Type Confusion (Confusión de Tipos) | Alta |
| CVE-2025-9602 | WebAudio | Use-After-Free (Uso después de liberar) | Alta |
| CVE-2025-9603 | Gráficos (Skia) | Integer Overflow (Desbordamiento de Enteros) | Alta |
| CVE-2025-9604 | Autofill | Use-After-Free | Alta |
| CVE-2025-9605 | DevTools | Implementación Inapropiada | Media |
| CVE-2025-9606 | Navegación | Validación de Datos Insuficiente | Media |
| CVE-2025-9607 | Downloads | Policy Bypass (Evasión de Políticas) | Media |
| CVE-2025-9608 | PDFium | Out of Bounds Write (Escritura fuera de límites) | Alta |
| CVE-2025-9609 | UI | Spoofing (Suplantación de Interfaz) | Baja |
Diccionario de Amenazas
- Type Confusion en V8 (CVE-2025-9601)
- ¿Qué es? V8 es el motor que procesa JavaScript en Chrome. Una “confusión de tipos” ocurre cuando el navegador se confunde sobre qué clase de objeto está manejando (ej. trata un número como si fuera una dirección de memoria).
- El peligro: Este error permite a los hackers engañar al navegador para que ejecute código malicioso arbitrario. Es el vector favorito para ataques rápidos y silenciosos.
- Use-After-Free (UAF)
- ¿Qué es? Ocurre cuando un programa sigue usando una parte de la memoria del ordenador después de haberla “liberado” o borrado.
- El peligro: Los atacantes pueden sobrescribir esa memoria “fantasma” con sus propios datos maliciosos, causando desde cierres inesperados hasta el control total del sistema.
- Integer Overflow (Skia)
- ¿Qué es? Un error matemático donde un número se vuelve demasiado grande para el espacio asignado, “dando la vuelta” y convirtiéndose en un número muy pequeño o negativo.
- El peligro: En el motor gráfico Skia, esto se usa a menudo para corromper imágenes y lograr que el navegador falle de manera que permita la entrada de código externo.
El efecto dominó de Chromium
Esta noticia no solo afecta a Google Chrome. Recuerda que la mayoría de los navegadores modernos se basan en el proyecto Chromium. Esto significa que los usuarios de:
- Microsoft Edge
- Brave
- Opera
- Vivaldi
También están afectados por el fallo en V8 (CVE-2025-9601) y deben esperar actualizaciones de sus respectivos proveedores en las próximas 24-48 horas.
Recomendaciones
- Chrome descarga el parche automáticamente, pero no lo instala hasta que cierras y vuelves a abrir el navegador.
- Muchos usuarios dejan su navegador abierto durante días. Durante todo ese tiempo, siguen siendo vulnerables al Zero-Day activo.
- Consejo: Ve a Menú > Ayuda > Información de Google Chrome para forzar la verificación y el reinicio inmediato.
