Guatemala, 18 de noviembre de 2025 (GMT-6) — Google publicó un parche de emergencia para CVE-2025-13223, una vulnerabilidad de tipo type confusion en V8, el motor JavaScript y WebAssembly de Chrome, actualmente explotada en el entorno salvaje según el Threat Analysis Group (TAG).
Detalles técnicos del zero-day
CVE-2025-13223 permite a un atacante remoto provocar corrupción de memoria en el heap mediante una página HTML especialmente diseñada. Este tipo de explotación puede derivar en acceso no autorizado a datos sensibles o en la ejecución de acciones sin autorización.
Para que el ataque sea viable, la víctima debe ser engañada para visitar la página maliciosa, manteniendo la técnica dentro del modelo clásico de explotación web dirigido.
El parche también corrige CVE-2025-13224, otro fallo de type confusion en V8, descubierto por Big Sleep, el sistema autónomo impulsado por IA de Google para investigación de vulnerabilidades.
Versiones corregidas
Las vulnerabilidades fueron solucionadas en las siguientes versiones de Chrome:
Windows: v142.0.7444.175 / .176
macOS: v142.0.7444.176
Linux: v142.0.7444.175
CVE-2025-13223 fue reportada por Clément Lecigne (Google TAG), un investigador clave en la detección de abusos vinculados a operaciones avanzadas de explotación.
Durante 2025, los zero-days en V8 han sido un vector recurrente de explotación activa, lo que refuerza la necesidad de seguimiento continuo y parches inmediatos.
Despliegue de actualizaciones y browsers afectados
Google indicó que las versiones corregidas se desplegarán de forma progresiva en los próximos días y semanas. Aunque Chrome se actualiza automáticamente, los usuarios pueden verificar manualmente la actualización en Configuración → Información de Chrome, y reiniciar el navegador para finalizar el proceso.
Los navegadores basados en Chromium —incluyendo Microsoft Edge, Brave y Opera— también recibirán los parches. Vivaldi confirmó que ya publicó su actualización para corregir CVE-2025-13223.
Consideraciones para el sector de ciberseguridad
Para organizaciones y equipos de TI, este caso subraya la importancia de:
Mantener políticas estrictas de actualización acelerada en navegadores.
Monitorizar exploits dirigidos que abusan de motores de ejecución como V8, altamente atractivos para actores sofisticados.
Considerar controles adicionales como aislamiento de navegación, listas de acceso restringidas y educación para evitar la visita a páginas no confiables.
