Google envió el miércoles actualizaciones de seguridad para su navegador Chrome para abordar tres fallas de seguridad, incluida una que, según dijo, ha sido explotada activamente en la naturaleza.
La vulnerabilidad, clasificada en gravedad alta, se rastrea con el ID del rastreador de problemas de Chromium «466192044.» A diferencia de otras divulgaciones, Google ha optado por mantener en secreto la información sobre el identificador CVE, el componente afectado y la naturaleza de la falla.
Sin embargo, una confirmación de GitHub para el ID de error de Chromium ha revelado que el problema reside en la biblioteca de código abierto Almost Native Graphics Layer Engine (ANGLE) de Google, con el mensaje de confirmación que dice «Metal: no utilice pixelsDepthPitch para dimensionar los buffers. pixelsDepthPitch se basa en GL_UNPACK_IMAGE_HEIGHT, que puede ser más pequeño que la altura de la imagen».
Esto indica que es probable que el problema sea una vulnerabilidad de desbordamiento del búfer en el renderizador Metal de ANGLE provocada por un tamaño inadecuado del búfer, lo que podría provocar daños en la memoria, fallas del programa o ejecución de código arbitrario.
«Google es consciente de que existe un exploit para 466192044», señaló la compañía, añadiendo que más detalles están «bajo coordinación».
Naturalmente, el gigante tecnológico tampoco ha revelado ningún detalle sobre la identidad del actor de amenazas detrás de los ataques, quién pudo haber sido el objetivo o la escala de tales esfuerzos.
Por lo general, esto se hace para garantizar que la mayoría de los usuarios hayan aplicado las correcciones y para evitar que otros actores malintencionados realicen ingeniería inversa en el parche y desarrollen sus propios exploits.
Con la última actualización, Google ha abordado ocho fallas de día cero en Chrome que han sido explotadas activamente o demostradas como prueba de concepto (PoC) desde principios de año. La lista incluye CVE-2025-2783, CVE-2025-4664, CVE-2025-5419, CVE-2025-6554, CVE-2025-6558, CVE-2025-10585 y CVE-2025-13223.
Google también aborda otras dos vulnerabilidades de gravedad media:
- CVE-2025-14372: Uso después de la liberación en el Administrador de contraseñas
- CVE-2025-14373: Implementación inadecuada en la barra de herramientas
Para protegerse contra posibles amenazas, se recomienda actualizar su navegador Chrome a las versiones 143.0.7499.109/.110 para Windows y Apple macOS, y 143.0.7499.109 para Linux. Para asegurarse de que estén instaladas las últimas actualizaciones, los usuarios pueden navegar a Más > Ayuda > Acerca de Google Chrome y seleccionar Reiniciar.
También se recomienda a los usuarios de otros navegadores basados en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, que apliquen las correcciones cuando estén disponibles.
Fallo ahora rastreado como CVE-2025-14174
A la vulnerabilidad ahora se le ha asignado el identificador CVE CVE-2025-14174 (puntuación CVSS: 8,8), y Google la describe como un acceso a memoria fuera de los límites en ANGLE. Le dio crédito a Apple Security Engineering and Architecture (SEAR) y Google Threat Analysis Group (TAG) por informar el problema el 5 de diciembre de 2025.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) también lo agregó a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), exigiendo que las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen las correcciones antes del 2 de enero de 2026.
«Google Chromium contiene una vulnerabilidad de acceso a memoria fuera de límites en ANGLE que podría permitir a un atacante remoto realizar acceso a memoria fuera de límites a través de una página HTML diseñada», dijo CISA.
(La historia se actualizó después de la publicación el 13 de diciembre de 2025 para incluir detalles del CVE).