- Google parchea CVE-2025-10200 (crítica) y CVE-2025-10201 (alta) en Chrome.
- Actualiza ya a las versiones corregidas en Windows, macOS y Linux para evitar exploits.
- El primer fallo es un use-after-free en ServiceWorker; el segundo afecta a Mojo y puede debilitar el sandbox.
- Navegadores basados en Chromium (Edge, Brave, Opera, Vivaldi) también deben actualizar.
Google ha publicado un aviso de seguridad en el que confirma que Chrome corrige dos fallos críticos, con una vulnerabilidad catalogada como crítica y otra de alta gravedad. La recomendación es instalar el parche cuanto antes para reducir el riesgo, especialmente en equipos de uso diario.
Ambas debilidades fueron notificadas a través del programa de recompensas de la compañía durante agosto y ya tienen identificadores oficiales: CVE-2025-10200 (crítica) y CVE-2025-10201 (alta). El alcance afecta a Windows, macOS y Linux en escritorio, y su explotación podría facilitar ejecución de código o comprometer mecanismos de aislamiento.
Actualización de urgencia en Chrome
El fallo más grave, registrado como CVE-2025-10200, es un error de tipo use-after-free en el componente ServiceWorker. En la práctica, el navegador intenta acceder a memoria ya liberada, algo que puede provocar corrupción de datos o abrir la puerta a la ejecución de código si se encadena con otras técnicas.
Un atacante podría preparar una página especialmente construida para que, al ser visitada, se desencadene la explotación y se ejecute código arbitrario en el sistema de la víctima. Por este motivo, el parcheo rápido es una prioridad tanto para usuarios particulares como para organizaciones.
Segundo fallo: alta gravedad en Mojo
La segunda vulnerabilidad, CVE-2025-10201, está descrita como una implementación inapropiada en Mojo, el conjunto de bibliotecas de ejecución que Chromium utiliza para la comunicación entre procesos. El peligro reside en que un atacante logre debilitar o eludir el sandbox del navegador, una capa esencial para contener el impacto de otros errores.
Aunque no se han publicado todos los detalles técnicos, los fallos en esta área suelen emplearse en cadenas de explotación más complejas. La medida prudente pasa por actualizar sin demora y verificar que la compilación instalada sea la corregida.
Versiones corregidas y cómo actualizar
Google ha puesto a disposición las versiones que parchean ambos CVE en los tres sistemas de escritorio. Si no has recibido la actualización automática, conviene comprobarlo de forma manual.
- Windows: 140.0.7339.127/.128
- macOS: 140.0.7339.132/.133
- Linux: 140.0.7339.127
Para forzar la búsqueda de actualizaciones en Chrome (escritorio), abre Menú > Ayuda > Información de Google Chrome. El navegador comprobará la última compilación disponible y aplicará el parche si procede.
- Haz clic en el menú de tres puntos (arriba a la derecha).
- Entra en Ayuda.
- Selecciona Información de Google Chrome.
- Espera la descarga y pulsa Reiniciar cuando se solicite.
La operación suele tardar solo unos segundos. Tras reiniciar, verifica el número de versión para asegurarte de que ya cuentas con la compilación que mitiga estos fallos.
Navegadores basados en Chromium
Como los errores residen en componentes de Chromium, navegadores como Microsoft Edge, Brave, Opera o Vivaldi también se ven potencialmente afectados. Lo habitual es que adopten el parche en 24-48 horas desde la publicación de Google.
Si utilizas alguno de ellos, entra en su configuración y comprueba manualmente si hay una versión disponible. Mantenerlos al día reduce notablemente la superficie de ataque y evita problemas de seguridad innecesarios.
Recompensas y cronología del hallazgo
El informe del fallo crítico llegó de la mano de Looben Yang el 22 de agosto y se recompensó con 43.000$. La vulnerabilidad de alta gravedad fue reportada por Sahan Fernando junto a un investigador anónimo, con una recompensa de 30.000$.
El comunicado público de Google, emitido el 9 de septiembre, confirma que las correcciones ya están disponibles. Para evitar riesgos, descarga siempre las actualizaciones desde el propio actualizador de Chrome o la página oficial, y no recurras a fuentes de terceros.
Preguntas frecuentes
¿Afecta a la versión móvil de Chrome?
Según la información facilitada, el alcance de estas correcciones se centra en Windows, macOS y Linux de escritorio.
¿Qué riesgo corro si no actualizo?
Podrías exponerte a ejecución de código o a la ruptura del aislamiento del navegador, con impacto en rendimiento y privacidad.
¿Debo actualizar también las extensiones?
No están relacionadas con estos dos CVE, pero conviene mantenerlas siempre al día para evitar vectores adicionales.
Con las versiones parcheadas ya disponibles, lo más sensato es actualizar sin demora, comprobar la compilación instalada y revisar también los navegadores basados en Chromium. Así se neutraliza el riesgo asociado a CVE-2025-10200 y CVE-2025-10201 en equipos Windows, macOS y Linux.
