Google ha publicado una actualización de seguridad de emergencia para Chrome en Windows, macOS y Linux con el objetivo de corregir dos vulnerabilidades de alta gravedad en su motor JavaScript V8, una de las cuales estaba siendo explotada activamente en ataques reales.

La más relevante, identificada como CVE-2025-13223, es un fallo de tipo zero-day que permitía a atacantes remotos ejecutar código arbitrario en el sistema de la víctima con tan solo visitar una página web maliciosa.

¿Qué es CVE-2025-13223?

CVE-2025-13223 es una vulnerabilidad de confusión de tipos (type confusion) en el motor V8, responsable de ejecutar JavaScript y WebAssembly dentro de Chrome.

Este tipo de fallo se produce cuando el navegador trata un objeto en memoria como si fuera de un tipo diferente al real. Un atacante puede aprovechar este comportamiento para manipular la memoria (heap corruption) y forzar al navegador a ejecutar código controlado por él.

El impacto práctico de este fallo incluye:

• Ejecución remota de código con los privilegios del navegador.
• Instalación de malware como spyware o ransomware.
• Robo de información sensible.
• Toma de control del equipo afectado.

La vulnerabilidad fue descubierta el 12 de noviembre de 2025 por Clément Lecigne, investigador del equipo Threat Analysis Group (TAG) de Google, especializado en detectar ataques avanzados y campañas de espionaje digital.

Google ha confirmado que existía un exploit funcional circulando en entornos reales antes de que el parche estuviera disponible, lo que convierte el fallo en un zero-day genuino.

Una tendencia preocupante

Con este parche, Google ya ha corregido siete vulnerabilidades zero-day en Chrome en lo que va de 2025. Más significativo aún es que CVE-2025-13223 es el tercer fallo de confusión de tipos en V8 explotado activamente este año, lo que sugiere que los atacantes están focalizando esfuerzos en esta superficie de ataque concreta.

Esto convierte al motor V8 en uno de los objetivos más atractivos para grupos avanzados debido a su complejidad, su exposición masiva y su papel central en el ecosistema web moderno.

La segunda vulnerabilidad: descubierta por una IA

La actualización también corrige CVE-2025-13224, otro fallo de confusión de tipos en V8 con una puntuación CVSS de 8.8.

Este segundo fallo fue detectado no por un investigador humano, sino por el sistema automatizado de análisis de seguridad de Google basado en inteligencia artificial, denominado “Big Sleep”. Esto ilustra cómo el uso de técnicas de fuzzing y análisis automatizado se está volviendo esencial para descubrir vulnerabilidades complejas antes de que puedan ser explotadas por actores maliciosos.

Versiones afectadas y parche

Las versiones que corrigen ambos fallos son:

• Windows: 142.0.7444.175 y 142.0.7444.176
• macOS: 142.0.7444.176
• Linux: 142.0.7444.175

Aunque Chrome se actualiza automáticamente, Google recomienda forzar manualmente la actualización debido a la criticidad del fallo:

Configuración → Ayuda → Información de Google Chrome

Es imprescindible reiniciar el navegador tras la descarga para que el parche sea efectivo.