CVE-2025-13223 és una vulnerabilitat que està sent activament explotada. Es tracta d’una falla de type confusion en el motor V8 de Chromium. La fallada es produïx quan el motor assumix incorrectament el tipus d’un objecte durant unes certes optimitzacions internes (JIT), la qual cosa provoca que s’accedisca a memòria amb un tipus incompatible.
Anàlisi
CVE-2025-13223 permet que un atacant manipule estructures internes del heap de V8, generant corrupció de memòria controlada. En escenaris explotables, això pot escalar a execució de codi arbitrari dins del procés del navegador, generalment dins de la sandbox. Google va confirmar que esta vulnerabilitat està sent explotada activament, la qual cosa indica que existixen exploits funcionals que abusen de l’error per a comprometre sistemes mitjançant pàgines web especialment dissenyades.
Afecta a Google Chrome i altres navegadors basats en Chromium en sistemes Windows, Mac i Linux en versions anteriors a 142.0.7444.175/176.
Recomanacions
Actualitzar Google Chrome o qualsevol navegador basat en Chromium a la versió 142.0.7444.175 o superior per a Windows i Linux, o 142.0.7444.176 per a Macintosh
Habilitar les actualitzacions automàtiques del navegador
Evitar navegar a llocs web de dubtosa reputació, ja que un exploit “drive-by” pot aprofitar-se simplement en visitar una pàgina web maliciosa
Habilitar les actualitzacions automàtiques del navegador
Evitar navegar a llocs web de dubtosa reputació, ja que un exploit “drive-by” pot aprofitar-se simplement en visitar una pàgina web maliciosa
Referències
- https://chromereleases.googleblog.com/2025/11/stable-channel-update-for-desktop_17.html
- https://www.hkcert.org/security-bulletin/google-chrome-multiple-vulnerabilities_20251118
- https://csirt.telconet.net/comunicacion/boletines-servicios/vulnerabilidad-critica-zero-day-en-google-chrome-activamente-explotada/
- https://thehackernews.com/2025/11/google-issues-security-fix-for-actively.html