Google ha emitido recientemente actualizaciones de seguridad de emergencia para abordar una vulnerabilidad de día cero en su navegador Chrome, que se suma a otras amenazas advertidas durante los meses previos, como la que se detectó en junio. La compañía, si bien no ha precisado si la falla sigue siendo utilizada activamente, ha advertido de la existencia de un exploit público, lo cual es un indicio habitual de su explotación en el entorno real.

Esta vulnerabilidad, catalogada como de alta gravedad y conocida como CVE-2025-10585 y de la que informó la compañía a través de su blog de lanzamientos de Chrome, se origina en una debilidad de "type confusion" dentro del motor JavaScript V8 del navegador, y fue comunicada por el Grupo de Análisis de Amenazas (TAG) de Google.

La persistente amenaza de los ataques de día cero en Chrome

Este grupo especializado de la compañía de Mountain View suele identificar vulnerabilidades de día cero que son aprovechadas por actores patrocinados por gobiernos en campañas de software espía dirigidas. Estos objetivos incluyen, entre otros, a políticos de la oposición, disidentes y periodistas, individuos que por su perfil presentan un alto riesgo. Google logró mitigar el problema de seguridad en un plazo de un día, liberando las versiones 140.0.7339.185/.186 para sistemas Windows y Mac, así como la versión 140.0.7339.185 para Linux.

Por otra parte, estas versiones de seguridad se desplegarán de manera gradual en el canal Estable de Escritorio durante las próximas semanas. Aunque Chrome suele actualizarse de forma automática al detectar nuevos parches, los usuarios tienen la opción de acelerar el proceso accediendo al menú de Chrome, seleccionando "Ayuda" y luego "Información de Google Chrome".

Una vez completada la descarga, basta con pulsar el botón "Reiniciar" para aplicar la actualización de manera inmediata. Google ha confirmado la explotación de CVE-2025-10585, pero ha mantenido restringidos los detalles adicionales sobre su uso en ataques, una medida común hasta que la mayoría de los usuarios hayan actualizado su software.

Incidentes similares a lo largo de 2025

La identificación de esta vulnerabilidad marca la sexta vez en lo que va de año que Google corrige una vulnerabilidad de día cero en Chrome que ha sido activamente explotada, según apuntan desde Bleeping Computer. Otras cinco fallas de este tipo fueron parcheadas previamente en los meses de marzo, mayo, junio y julio, lo que subraya una tendencia preocupante en la seguridad del navegador.

En este sentido, en julio pasado, la compañía ya había abordado otra vulnerabilidad de día cero explotada (CVE-2025-6558), también reportada por investigadores del TAG de Google, que permitía a los ciberdelincuentes evadir la protección del 'sandbox' del navegador. Previamente, en mayo, Google lanzó parches de seguridad de emergencia para otra falla de día cero (CVE-2025-4664) que posibilitaba el secuestro de cuentas de usuarios.

Además, en junio, se corrigió una debilidad de lectura y escritura fuera de los límites (CVE-2025-5419) en el motor JavaScript V8 de Chrome, también descubierta por el TAG de Google. Esta serie de incidentes demuestra la vigilancia continua necesaria por parte de los equipos de seguridad y la importancia de mantener el software actualizado para contrarrestar las amenazas emergentes.

Finalmente, en marzo de este año, se subsanó una falla de escape de 'sandbox' de alta gravedad (CVE-2025-2783) informada por Kaspersky, la cual fue empleada en ataques de espionaje contra organismos gubernamentales y medios de comunicación rusos. El año anterior, Google ya había remediado otras diez vulnerabilidades de día cero, algunas demostradas en competiciones de hacking como Pwn2Own y otras explotadas activamente en ataques.