CVE-2025-10585: Zero-day crítico en Google Chrome (V8)
Admin
September 19, 2025
Translate to:
Gravedad: Crítica
Tipo: Type Confusion en motor V8 de JavaScript/WebAssembly
Fecha de divulgación: 17 de septiembre de 2025
Estado: Explotación activa (“in the wild”) confirmada por Google TAG; parche disponible
Productos afectados: Google Chrome < 140.0.7339.185, derivados Chromium (Edge, Brave, Opera, Vivaldi) sin parche
Detectada por: Google Threat Analysis Group (TAG)
Tipo: Type Confusion en motor V8 de JavaScript/WebAssembly
Fecha de divulgación: 17 de septiembre de 2025
Estado: Explotación activa (“in the wild”) confirmada por Google TAG; parche disponible
Productos afectados: Google Chrome < 140.0.7339.185, derivados Chromium (Edge, Brave, Opera, Vivaldi) sin parche
Detectada por: Google Threat Analysis Group (TAG)
Descripción técnica
- La vulnerabilidad corresponde a un type confusion en el motor V8 (JavaScript/WebAssembly) de Chrome, presente cuando el motor interpreta un fragmento de memoria como un tipo incorrecto de objeto.
- Esta confusión puede permitir corrupción de memoria, cierre inesperado del navegador o ejecución de código arbitrario por parte de un atacante.
- Basta con que una víctima navegue a un sitio web especialmente preparado para que el exploit pueda ejecutarse, facilitando tanto ataques dirigidos (“APT”) como campañas masivas[web:144][web:143][web:159][web:145][web:156][web:163].
- No se han divulgado detalles técnicos completos para evitar abusos mientras se corrigen todos los navegadores afectados.
Impacto
- Ejecución remota de código en equipos usuarios al visitar una web maliciosa.
- Posibilidad de fuga/exfiltración de datos, escalada de privilegios o acceso al sistema completo si se encadena con otras vulnerabilidades.
- Afecta a millones de usuarios y sistemas empresariales que no apliquen el parche.
Detección y mitigación
- Actualizar urgentemente Google Chrome a versión 140.0.7339.185/.186 en Windows/Mac, 140.0.7339.185 en Linux.
- Otros navegadores basados en Chromium (Edge, Brave, Opera, Vivaldi) deben ser actualizados en cuanto los parches estén disponibles.
- Recomendar actualizaciones automáticas y reinicio del navegador tras parchear. Verifica la versión en
chrome://settings/help. - Empresas: priorizar la actualización en endpoints y políticas de seguridad, y monitorizar la ejecución de código/scripting sospechoso en la red.
Resumen técnico
| Aspecto | Detalle |
|---|---|
| CVE | CVE-2025-10585 |
| Categoría | Type Confusion, engine V8 (JavaScript/WebAssembly) |
| Impacto | Ejecución remota de código, corrupción de memoria |
| Exploitabilidad | Alta – basta visitar una web manipulada |
| Estado | Zero-day, explotación activa en entornos reales |
| Versiones afectadas | Chrome < 140.0.7339.185/.186; otros basados en Chromium |
| Parche disponible | Sí, desde el 17 de septiembre de 2025 |
| Mitigación | Actualizar Chrome y derivados, reforzar detección en endpoints |
Recomendación urgente:
Actualiza Chrome y todos los navegadores derivados de Chromium de inmediato.
Refuerza la monitorización de endpoints y educa a usuarios sobre phishing y riesgo de navegación.
Activa las actualizaciones automáticas para minimizar la ventana de exposición a este y futuros 0-days.
Actualiza Chrome y todos los navegadores derivados de Chromium de inmediato.
Refuerza la monitorización de endpoints y educa a usuarios sobre phishing y riesgo de navegación.
Activa las actualizaciones automáticas para minimizar la ventana de exposición a este y futuros 0-days.
Comments (0)
No comments yet. Be the first to comment!