CVE-2025-13223 es una vulnerabilidad que está siendo activamente explotada. Se trata de una falla de type confusion en el motor V8 de Chromium. El fallo se produce cuando el motor asume incorrectamente el tipo de un objeto durante ciertas optimizaciones internas (JIT), lo que provoca que se acceda a memoria con un tipo incompatible.
Análisis
CVE-2025-13223 permite que un atacante manipule estructuras internas del heap de V8, generando corrupción de memoria controlada. En escenarios explotables, esto puede escalar a ejecución de código arbitrario dentro del proceso del navegador, generalmente dentro de la sandbox. Google confirmó que esta vulnerabilidad está siendo explotada activamente, lo que indica que existen exploits funcionales que abusan del error para comprometer sistemas mediante páginas web especialmente diseñadas.
Afecta a Google Chrome y otros navegadores basados en Chromium en sistemas Windows, Mac y Linux en versiones anteriores a 142.0.7444.175/176.
Recomendaciones
Actualizar Google Chrome o cualquier navegador basado en Chromium a la versión 142.0.7444.175 o superior para Windows y Linux, o 142.0.7444.176 para Macintosh
Habilitar las actualizaciones automáticas del navegador
Evitar navegar a sitios web de dudosa reputación, ya que un exploit «drive-by» puede aprovecharse simplemente al visitar una página web maliciosa.
Habilitar las actualizaciones automáticas del navegador
Evitar navegar a sitios web de dudosa reputación, ya que un exploit «drive-by» puede aprovecharse simplemente al visitar una página web maliciosa.
Referencias
- https://chromereleases.googleblog.com/2025/11/stable-channel-update-for-desktop_17.html
- https://www.hkcert.org/security-bulletin/google-chrome-multiple-vulnerabilities_20251118
- https://csirt.telconet.net/comunicacion/boletines-servicios/vulnerabilidad-critica-zero-day-en-google-chrome-activamente-explotada/
- https://thehackernews.com/2025/11/google-issues-security-fix-for-actively.html